使用 PEAP 和密码确保无线 LAN 的安全
第 4 章:构建网络证书颁发机构
本页内容
概述本章将指导您完成安装和配置 Microsoft® Windows Server™ 2003 证书服务的过程。证书服务是 Windows Server 2003 的可选组件,默认情况下不安装。 安装一种证书服务即指定一个证书颁发机构 (CA)。“使用 PEAP 和密码确保无线 LAN 的安全”解决方案只需一个 CA。该 CA 将用于向 Internet 验证服务 (IAS) 服务器颁发证书(本解决方案的后续章节将进行讨论)。 本章的目标是提供一种简单且有指定用途的 CA。与大多数 CA 不同,该 CA 仅用于颁发一种类型的证书,即解决方案中 IAS 服务器所使用的服务器证书。为此,证书的设计要非常便于安装、配置和管理。请注意:如果您的组织计划将证书用于其他目的(如将来用于 IPSec 或 VPN),Microsoft 建议您为环境建立更可靠的公钥基础结构 (PKI) 体系结构。更多详细信息,请参阅第 2 章“规划无线 LAN 安全的实施”。 本章信息仅限 CA 实施过程的简单介绍,其中不涉及任何有关 PKI 的一般性概念或有关 Microsoft 证书服务的实施细节。本章仅对安装中必不可少的内容进行介绍。此外,本章也不涉及如何使用该 CA 颁发任何 IAS 服务器验证证书以外的证书。 本章内容基于以下假设:即组织当前没有 PKI。如果有 PKI,可使用此 PKI 向 IAS 服务器颁发证书,无须按本章描述的步骤安装 CA。但有关如何进行此操作,以及如何将此 CA 安装到现有 PKI 的相关指南都不属于本解决方案的讨论范围。 除了安装自己的 CA 外,您还可以从商业证书颁发机构(如 VeriSign 或 Thawte)获取证书。究竟安装自己的 CA 和安装外部提供商销售的证书各有哪些优点,请参阅第 2 章“无线 LAN 的安全实施计划”的“获取 IAS 服务器证书”一节。本章不涉及从商业证书颁发机构获取并使用证书的相关指南。本章结尾提供了介绍此过程的 Microsoft 文档参考。 本章必备知识除了第 3 章列出的必备知识(准备环境)外,您还应熟悉证书服务和 PKI 概念(但无需深入了解)。 实现本章内容之前,需阅读和实现第 3 章中的“准备环境”指南。此外,您还需阅读第 2 章中的设计和规划信息“规划无线 LAN 安全的实施”,并对解决方案的体系结构和设计有透彻的了解。 准备实施所需权限要执行本章中描述的过程,需使用以下组的成员帐户登录:
在默认情况下,林根域(林中创建的第一个域)的内置 Administrator 帐户是上述两个组的成员,但您也可使用有同样组成员身份的其他任意帐户。 注意:如果不将 CA 安装在林根域中,而林又是 Windows 2000 Active Directory(或已从 Windows 2000 Active Directory 升级),则安装所使用的帐户必须是林根域的成员。 必需工具要执行本章中的过程,需具备下列工具。 表 4.1:构建和安装 CA 所必需的工具
证书颁发机构参数下表列出了使用本解决方案安装和配置 CA 所用的参数。这些参数都在 PKIparams.vbs 脚本文件中设置。此文件中的参数也可根据需要进行修改。 表 4.2:本解决方案使用的 CA 设置
注意:设置较长的 CA 有效期可减少定期续订 CA 证书的管理开销。与颁发给计算机和用户的证书不同,CA 证书不能自动续订。如果 CA 证书未在过期前续订,所有 CA 颁发的证书都将出错。 要点:上表列出的设置用在本解决方案的内部测试中,而且都能按已知结果实现。很多值可以更改。但更改之前,您必须充分理解特定设置的目的以及更改值的含义。 安装准备情况检查在服务器中安装证书服务之前,必须确保域可访问、必需工具都已安装。 安装 CA 前先检查服务器
脚本检查主要针对下列内容:
如果检测出任何问题,脚本控制台窗口将显示错误日志。您必须在继续前仔细研究并纠正错误。 安装证书服务本节说明如何安装证书服务来创建 CA。CA 是作为企业根 CA 安装的。 安装证书服务软件组件您必须使用提供的脚本来安装 CA 软件组件。该脚本使用 Windows Optional Components Installation Manager(Windows 可选组件安装管理器)安装 CA,并在运行时构建所需的全部配置文件。要进行安装,请使用 Windows Server 2003 安装光盘(或 Windows 安装源的网络路径)。 警告:如果以前曾安装过 CA 或要重新安装 CA,必须先删除现有安装。在删除 CA 之前,请确保其他应用程序未使用 CA。 使用“控制面板”的“添加/删除程序”小程序中的“添加/删除 Windows 组件”删除证书服务。 安装证书服务
验证 CA 安装可以使用以下过程验证证书服务安装是否成功完成。 验证 CA 安装是否正确
如果以上值均与期望值不同,可重新安装证书服务。 注意:如果要重新运行 CA 安装,必须如前所述,首先删除已安装的证书服务。 配置 CA安装 CA 后,必须运行一些附加脚本来配置部分剩余的 CA 参数。 配置 CA 属性本过程将设置 CA 的若干参数,这些参数将决定 CA 的工作情况。其中一些参数在安装 CA 期间设置,另一些必须在安装后设置。这些参数的值在本章前面的“证书颁发机构参数”一节指定。本过程使用的脚本将配置下表中所列出的 CA 属性。 表 4.4:CA 配置属性
注意:上面很多参数都影响 CA 的 CRL 的配置。CRL 是一组由 CA 颁发但随后被管理员取消(或吊销)的证书的列表。即使您在管理本解决方案期间不太可能吊销任何证书,但很多应用程序都依赖读取当前 CRL 来检查证书的吊销状态(即使 CRL 为空)。如果应用程序找不到 CRL,它会拒绝证书。 配置 CA 属性
如果脚本报告出错,可跟踪日志文件 (%systemroot%\debug\MSSWLAN-Setup.log) 来仔细研究原因,纠正问题后返回配置脚本。 注意:您可以根据需要多次返回此配置脚本。 导入自动证书请求 GPO此过程将导入 IAS 证书自动注册策略 GPO(已预先配置为允许自动将证书颁发给域中的 IAS 服务器)。它使用名为自动证书请求服务 (ACRS) 的功能。 ACRS 不应与 Windows Server 2003 企业版的自动注册功能混淆,尽管两者执行的功能相同。ACRS 服务的限制比自动注册服务多,开始在 Windows 2000 中使用。它只允许注册“计算机”(而不是用户)证书,且只能使用版本 1 的证书模板。但是,ACRS 对于本解决方案中有限的证书使用已足够,它允许 CA 安装在(花费较少)Windows Server 2003 标准版上。 要点:如果 Active Directory 林中有多个域,您需在安装 IAS 服务器的每个域中重复执行此过程。 以下过程中使用的脚本将导入预先配置的 GPO,且使用自动注册证书策略。GPO 指定预定义的“计算机”证书类型作为注册类型。然后,脚本将安全权限应用到 GPO,以便只有 RAS 的成员和 IAS 服务器组受到影响(默认设置是将 GPO 应用到所有授权用户和计算机)。 注意:在有些上下文中,计算机证书模板可能是指机器模板。“机器”(Machine) 是模板的内部名称,而“计算机”(Computer) 是它的显示名称。 将自动证书请求 GPO 安装到域中
接着,必须将此 GPO 链接到域,以便 GPO 设置被应用到 IAS 服务器。此步骤是手动完成的,这样可控制链接到 GPO 的过程。自动执行此步骤将面临覆盖域中现有 GPO 链接设置的风险。 应用自动证书请求 GPO
验证 CA 配置以下过程确认您是否正确配置了 CA。脚本验证:
这些值将根据存储在 PKIParams.vbs 文件中的设置进行检查。脚本不检查绝对值;它只是检查设置在 CA 上的配置是否正确。 验证 CA 配置
如果脚本输出显示任何错误,应重新审核本章中的步骤,然后纠正所示问题。 小结本章指导您完成特殊用途 CA 的安装过程,并将服务器证书颁发给 IAS 服务器。方案中使用的 CA 配置设计只需极少的维护,将来的管理环节也极少。其中一些必需的操作和支持信息都包括在第 8 章“维护安全无线 LAN 解决方案”中。 您现在准备安装 IAS 服务器。相关内容在第 5 章“构建无线 LAN 安全的基础结构”中讲述。 参考本节提供了与本章内容相关的重要补充信息和其他背景材料的参考。
|
本文内容
|
