安全指南

管理公钥基础结构

更新日期: 2004年04月06日
本页内容
本模块内容本模块内容
目标目标
适用范围适用范围
如何使用本模块如何使用本模块
基本维护任务基本维护任务
证书服务管理角色证书服务管理角色
操作象限任务操作象限任务
支持象限任务支持象限任务
优化象限任务优化象限任务
更改象限任务更改象限任务
故障排除故障排除
配置表配置表
其他信息其他信息

本模块内容

本模块描述了管理 PKI(公钥基础结构)所需的操作过程,PKI 是作为“安全的无线 LAN”解决方案的一部分实现的。此结构基于在“操作指南”第一个模块中讨论过的 Microsoft® Operations Framework (MOF) 类别和概念。

利用本模块可以实现 PKI 的完全管理系统,包括开始监视和维护系统需要的所有设置任务。这还包括使系统保持正常运行所需的常规操作任务,以及帮助您处理支持事件、管理对环境的改变和优化系统性能的操作过程。

返回页首返回页首

目标

使用本模块可以实现:

理解管理系统所需执行的任务。

分配管理系统所需的管理角色。

提供管理 PKI 的参考文档。

返回页首返回页首

适用范围

本模块适用于下列产品和技术:

Microsoft Windows® Server™ 2003

Microsoft 证书服务

Microsoft Active Directory® 目录服务

Microsoft Internet Information Server (IIS)

返回页首返回页首

如何使用本模块

本模块描述了维护正确管理的 PKI 环境所需执行的操作。本模块的剩余部分用作参考资料。

为了充分理解本模块内容,请

阅读模块安全无线 LAN 操作指南简介。这样,您将对 Microsoft Operations Framework 有所了解,因为该模块是以 MOF 操作指南的形式构建的。

返回页首返回页首

基本维护任务

本部分列出了成功操作 PKI 必须执行的关键任务。这些任务列在两个表中:一次性设置任务和当前操作任务。表中列出的任务名称将在本文档的后面部分详细描述。这些任务是按 MOF 象限分组的;任务所属的 MOF 服务管理功能 (SMF) 在该任务旁边列出,以帮助您轻松查找所需任务。

本节还包括本模块的操作过程中所用工具和技术的列表。

初始设置任务

表 1 显示了初始使用 PKI 时必须执行的任务。根据您的操作标准和实际情况,您可能不需要执行所有这些任务,但应通过查看任务详细信息来确定是否需要执行该任务。在某种情况下,可能还需要重复执行某些任务。例如,如果安装了新的证书颁发机构 (CA),则需要配置备份并为其监视作业。

表 1:初始设置任务

任务名称角色群集 MOF SMF

操作象限

  

  

为证书服务管理准备域组织单元 (OU) 结构

基础结构

目录服务管理

向 Web Server 发布“颁发 CA 证书吊销列表 (CRL)”

安全

安全管理

配置“颁发 CA 数据库备份”

基础结构

存储管理

配置根 CA 数据库备份

基础结构

存储管理

测试 CA 数据库备份

操作

存储管理

测试 CA 密钥备份

操作

存储管理

对监视警报进行分类

基础结构

服务监视和控制

监视证书服务容量限制

基础结构

服务监视和控制

监视证书服务运行状况和可用性

基础结构

服务监视和控制

为挂起证书请求设置简单邮件传输协议 (SMTP) 警报

基础结构

服务监视和控制

在颁发 CA 上制定作业计划

基础结构

作业调度

优化象限

  

  

确定颁发 CA 的最大负荷

基础结构

容量管理

确定颁发 CA 的存储和备份要求

基础结构

容量管理

更改象限

  

  

管理操作系统修补程序

基础结构

- 变更管理
- 发布管理

虽然没有提供为 PKI 设置配置管理系统的文档化任务,但应查看配置管理部分中的过程。这些过程描述了应该在配置管理系统中收集和维护的信息的类型。

维护任务

表 2 显示了为维护 PKI 正常运行必须定期执行的任务。可以利用此表来帮助您规划所需资源,并为系统管理制定操作计划。

有些任务您可能不必执行,但应通过查看任务详细信息来做出此决策。有些任务可能还需要在特殊场合或按预定计划执行。例如,如果续订根 CA 证书,则需执行根 CA 备份(即使此操作不在计划之内)。这种情况将在“频率”列中进行说明。诸如此类的依赖项也在任务详细信息本身中指明。

表 2:维护任务

任务名称角色群集 频率SMF

操作象限

  

  

  

检查挂起请求

安全

每日

安全管理

续订根 CA 证书

安全

每八年

安全管理

续订颁发 CA 证书

安全

每四年

安全管理

发布脱机 CRL 和 CA 证书

安全

每六个月

安全管理

备份 CA 密钥和证书

操作

- 每年
- 每次更新 CA 证书时 - 以时间较早的为准

存储管理

测试 CA 数据库备份

操作

每月一次

存储管理

测试 CA 密钥备份

操作

每六个月

存储管理

对证书数据库中的旧数据进行存档和删除

操作

每年

存储管理

从 CA 存档安全审核数据

操作

每月(颁发 CA)

存储管理

从 CA 存档安全审核数据

操作

每六个月(根 CA)

存储管理

实现指南中要求的技术

表 3 和表 4 列出了在本指南所描述的过程中使用的工具或技术。

表 3:所需技术

项名称来源

Active Directory 目录服务用户和计算机管理控制台

Microsoft Windows Server 2003

证书颁发管理控制台

Windows Server 2003

证书模板管理控制台

Windows Server 2003

Certutil.exe

Windows Server 2003

Certreq.exe

Windows Server 2003

MSS 脚本

此解决方案

文本编辑器

记事本 — Windows Server 2003

Windows Task Scheduler 服务

Windows Server 2003

SchTasks.exe

Windows Server 2003

Windows 备份

Windows Server 2003

Cipher.exe

Windows Server 2003

事件查看器

Windows Server 2003

性能监视器

Windows Server 2003

Net.exe

Windows Server 2003

DSquery.exe

Windows Server 2003

Ldifde.exe

Windows Server 2003

DCDiag.exe

Windows Server 2003

操作警报控制台

Microsoft Operations Manager (MOM)

用于备份根 CA 的可移动媒体

CD-RW 或磁带

颁发 CA 服务器备份

公司备份服务或本地备份设备

组策略管理控制台

从 Microsoft.com 的 Web 下载

PKI Health

Windows Server 2003 资源工具包

表 4:建议使用的技术

项名称来源

操作警报控制台

Microsoft Operations Manager 或其他服务监视系统

电子邮件基础结构 — 用于操作警报(替代 MOM)

SMTP/邮局协议版本 3 (POP3)/Internet 消息访问协议 (IMAP) 服务器和客户端,如 Microsoft Exchange Server 和 Microsoft Outlook®

Eventquery.vbs

Windows Server 2003

容量计划工具

Microsoft Operations Manager 或其他容量计划工具

修补程序分发系统

Microsoft Systems Management Server (SMS) 或
Microsoft Software Update Services (SUS)

返回页首返回页首

证书服务管理角色

PKI 管理中涉及了许多不同的角色。在以下两个部分中将这些角色划分为核心角色和支持角色。

核心证书服务角色

核心证书服务角色是 PKI 管理的中心部分。几乎所有角色都可以映射到 MOF 安全角色群集。其中许多角色都与为证书服务定义的通用标准安全角色相符。这种情况在角色名称后的括号内进行了标注。

表 5:核心证书服务角色

角色名称MOF 角色群集范围说明

Enterprise PKI Administrator

安全

企业

负责整体 PKI — 为企业定义证书类型、应用程序策略、信任路径等。

Enterprise PKI Publisher

安全

企业

负责将信任根证书、子 CA 证书和 CRL 发布到目录中。

CA Administrator(CC 角色)

安全

CA

CA 管理员 — 负责服务器范围的配置(如 CA 安装)。个人通常与 Enterprise PKI Admins 相同。
可以有不同的 CA 管理员负责不同的 CA(如果证书使用要求这样做)。

Administrator(CC 角色)

安全

CA

CA 服务器操作系统的管理员 — 负责服务器范围的配置(如 CA 安装)。个人通常与 CA Admins 角色相同。
可以有不同的管理员负责不同的 CA(如果证书使用要求这样做)。

CA Auditor(CC 角色)

安全

CA

管理 CA 的可审核事件的审核事件、策略等。

Certificate Manager(CC 角色)

安全

CA

批准要求手动批准的证书请求并吊销证书。
根据证书的使用需要,可能会由多个 Certificate Managers 负责不同 CA 的批准。

Registration Authority

安全

证书配置文件

是 Certificate Manager 角色的扩展。负责在通过带外标识符 (ID) 验证后批准证书请求并对其签名。
可以是一个人,也可以是信息技术 (IT) 处理设备(如链接到指纹扫描程序和数据库)。
不同的 Registration Authority 可以指定给不同的证书配置文件(模板),并且可以跨越多个 CA。

Key Recovery Agent

安全

CA

保存用于解密存档在 CA 数据库中的私钥的密钥。

CA Backup Operator(CC 角色)

操作

CA

负责备份并恢复 CA 服务器并确保备份媒体的安全存储。

支持证书服务角色

这些操作角色不是 PKI 管理的中心部分,但为核心角色提供支持功能。

表 6:支持证书服务角色

角色名称MOF 角色群集范围说明

监视操作员

操作

企业

负责监视事件。

容量规划员

基础结构

企业

负责分析性能,并预计将来的容量需求。

Active Directory 管理员

基础结构和支持

企业

负责配置和支持 Active Directory 基础结构。

Active Directory 操作

操作员

企业

负责目录的每日维护,如安全组维护、帐户创建等。

变更审批委员会

发布

企业

批准基础结构更改所需的业务代表和技术代表。

将证书服务角色映射到安全组

表 7 列出了为此解决方案定义的安全组,并对每个组的功能或权限进行了简要描述。

对于脱机 CA,只有本地安全组。在这种情况下,将在 CA 内部创建单个的本地帐户,然后使用这些帐户填充本地组。可以将单个帐户作为多个甚至所有本地角色组中的成员(如果这种做法支持您组织的安全和 IT 策略)。

对于联机 CA,域安全组用于将适当权限应用于每个角色。域帐户用于填充角色组。同样,可以将单个帐户作为多个甚至所有本地角色组的成员(如果这种做法支持您组织的安全和 IT 策略)。

表 7:将证书服务角色映射到安全组

角色名称域安全组本地安全组容量

Enterprise PKI Administrator

Enterprise PKI Admins

-

控制 Active Directory 公钥服务容器,从而控制模板、信任发布和其他企业(目录林)级的配置元素。

CA Administrator

CA Admins

CA Admins(仅用于根 CA)

在 CA 上具有管理 CA 权限。控制 CA 上的角色分配。还具有更改 CA 属性的权限。通常也是 CA 服务器上的本地管理员,除非强制角色分离。

CA Auditor

CA Auditors

CA Auditors(仅用于根 CA) Administrators

在 CA 上具有管理安全和审核日志用户权限。也是 CA 上本地 Administrators 组的成员(用于访问审核日志)。

Certificate Manager

Certificate Managers

Certificate Managers

在 CA 上具有颁发和管理证书权限。
可以在每个 CA 上设置多个 Certificate Manager — 每个 Certificate Manager 为一个用户或其他最终实体子集管理证书。

Registration Authority

-

-

保存在批准证书请求前对其进行签名所需的证书和密钥。

Key Recovery Agent

-

-

保存解密证书数据库中存储的已存档私钥所需的证书和密钥。

CA Backup Operator

CA Backup Operators

CA Backup Operators(仅用于根 CA)

在 CA 服务器上具有备份和还原权限。

返回页首返回页首

操作象限任务

本部分针对与 MOF 操作象限相关的维护任务提供了详细信息。

MOF 操作象限包括定期应用于服务解决方案的 IT 操作标准、进程和过程,以便实现和维护预定参数范围内的服务级别。操作象限的目标是使手动和自动日常任务的执行具有高度可预测性。

操作象限包含下列服务管理功能:

目录服务管理

安全管理

存储管理

服务监视和控制

作业调度

没有与以下剩余服务管理功能有关的任务:

系统管理

网络管理

打印和输出管理

目录服务管理

目录服务允许用户和应用程序通过网络查找网络资源,如用户、服务器、应用程序、工具、服务和其他信息。目录服务管理处理企业目录的日常操作、维护和支持。目录服务管理的目标是,通过对信息进行简单而有组织的处理,确保经过授权的任何请求者都能通过网络访问信息。

为证书服务管理准备域 OU 结构。

此任务的目的是创建合适的 OU 结构,以管理证书服务安全组和用户帐户。

有责任的角色群集:

基础结构

频率:

设置任务

安全要求:

帐户具有在 Active Directory 的指定部分创建 OU 的权限

依赖性:

技术要求:

Active Directory 用户和计算机管理控制台

任务详细信息

此任务没有规定性,因为它主要依赖于现有 OU 结构以及当前的管理策略和过程。下表提供了一个简单 OU 子树的示例,可用来帮助组织在本指南中创建和引用的安全组。

表 8:安全组在 OU 结构中的位置

组织单位用途

证书服务

  

  

证书服务管理

Enterprise PKI Admins
Enterprise PKI Publishers
CA Admins
CA Auditors
Certificate Managers
CA Backup Operators

包含负责管理
CA 和 Enterprise PKI 配置的管理组。

证书模板管理

示例:
Manage User Template
Manage Smart Card Logon Template

包含被授予了同名模板
完全控制权限的组。允许根据模板类型
委派控制权限。

证书模板注册

示例:
Enroll User Certificate
Auto Enroll User Certificate
Enroll Email Signing Certificate

包含被授予了同名模板
“注册”
和“自动注册”权限的组。可以将这些组的
控制权限委派给
相关人员,以便他们可以
灵活地进行注册,而不必
接触模板本身。

创建证书模板管理组

模板管理组是将模板和模板设置的控制权限委派给其他管理员的一种非常有用的方法。否则,只有 Enterprise Administrators 和 Enterprise PKI Admins 才具有修改模板的权限。如果 IT 组织规模不大,可能不需要这种精确委派。在这种情况下,只有 Enterprise Admins(内置组)和 Enterprise PKI Admins(作为此解决方案的一部分创建)的成员才能够管理证书模板。

注意:使用此功能时应该非常谨慎。委派某个模板类型的控制权限表明您对要委派的人完全信任。具有写入权限的用户可以更改模板中的所有参数,以创建所需的任何证书类型。用户最好以自己的名义创建模板,而只在 Enterprise PKI Admins 组中保留证书类型的控制权限。

有责任的角色群集:

基础结构

频率:

根据需要

安全要求:

Enterprise PKI Admins

依赖性:

必须存在证书管理组 OU 结构。

技术要求:

- Active Directory 用户和计算机管理控制台
- 证书模板管理控制台

任务详细信息

可以对您所创建或要在环境中启用的每个证书模板执行下列过程。

创建证书模板管理组

1.

以 Enterprise PKI Admins 成员的身份登录。

2.

在证书模板管理 OU 中,创建名为 Manage CertTemplateName Template(其中 CertTemplateName 为要管理的证书模板的名称)的域全局安全组。

3.

将“证书模板”管理单元加载到 Microsoft 管理控制台 (MMC)。

4.

打开所需模板的属性,然后单击“安全”选项卡。

5.

添加 Manage CertTemplateName Template 组,然后为其授予“写入”权限。

创建证书模板注册组

使用模板注册组,可以更容易地管理谁可以注册或自动注册给定的证书类型,只需在安全组中添加和删除用户或计算机即可。还可以将这些组的成员身份控制权限授予管理人员,他们没有直接编辑证书模板属性的权限。

有责任的角色群集:

基础结构

频率:

根据需要

安全要求:

Enterprise PKI Admins

依赖性:

必须存在证书管理组 OU 结构。

技术要求:

- Active Directory 用户和计算机管理控制台
- 证书模板管理控制台

任务详细信息

可以为每种证书模板类型创建注册组,或至少可以为自动批准证书的所有证书模板类型创建注册组。(如果某种证书类型使用其他注册过程,这种机制可能不是很有用。)如果证书类型适合使用自动注册,则可以创建一个单独的组,来控制可以自动注册该证书的用户和设备。

创建证书模板注册组:

1.

以 Enterprise PKI Admins 成员的身份登录,然后打开 Microsoft Active Directory 用户和计算机管理控制台。

2.

在证书模板注册 OU 中,创建名称如下的域全局安全组:

Enroll CertTemplateName Certificate

Autoenroll CertTemplateName Certificate(如果需要)

3.

将“证书模板”管理单元加载到 MMC。

4.

打开模板属性以编辑安全性。

5.

添加 Enroll CertTemplateName Certificate 组,并为其授予“读取”和“注册”权限。

6.

添加 Autoenroll CertTemplateName Certificate 组,并为其授予“读取”、“注册”和“自动注册”权限。

注意:可以选择委派这些安全组的控制权限,以便允许应用程序所有者指定可以或不能注册此证书类型的用户。

为用户或计算机启用证书类型注册(或自动注册)

此任务对目录进行配置,以便为用户、计算机或包含用户和/或计算机的安全组启用某种证书类型的手动注册或自动注册。

角色群集:

安全

频率:

根据需要

安全要求:

具有证书注册组的修改成员身份权限。

依赖性:

必须存在证书模板注册组。

技术要求:

Active Directory 用户和计算机管理控制台

任务详细信息

为用户或计算机启用注册或自动注册

1.

在 Active Directory 用户和计算机管理控制台中,找到与要注册的证书类型相对应的证书模板注册安全组(或用于自动注册证书的自动注册组)。您必须作为对此组具有“修改成员身份”权限的用户进行登录。

2.

向选定模板安全组中添加用户、计算机或安全组。

对用户或计算机禁用证书类型注册(或自动注册)

向用户或计算机颁发证书通常会为证书持有者启用某些功能。以后可能需要禁用这些功能。

角色群集:

安全

频率:

根据需要

安全要求:

具有证书注册组的修改成员身份权限。

依赖性:

必须存在证书模板注册组。

技术要求:

- Active Directory 用户和计算机管理控制台
- 证书颁发机构管理控制台

任务详细信息

为用户或计算机启用注册或自动注册

1.

在 Active Directory 用户和计算机管理控制台中,找到与要禁用的证书类型相对应的证书模板注册(或自动注册)安全组。您必须作为对此组具有“修改成员身份”权限的用户进行登录。

2.

从模板安全组中删除用户、计算机或安全组。

注意:对于要禁用的每个证书用户,还必须吊销该用户的证书。

3.

以 Certificate Managers 成员的身份登录,然后在“证书颁发机构”数据库(在证书颁发机构 MMC 中)中找到该用户的现有证书。要找到证书,请从证书颁发机构 (CA) 的“颁发的证书”文件夹中单击“查看”菜单,然后单击“筛选器”选项。

4.

单击证书,然后从“任务”菜单中单击“吊销”。

5.

选择适当的吊销原因代码。如果吊销原因不属于预定义的原因代码之一,请选择“未指定”。

注意:只有“证书保留”原因允许在以后恢复证书。所有其他原因都将导致证书被永久禁用。但是,不要为了恢复证书(几率极低)而使用“证书保留”代码。仅在您真正需要临时挂起证书时才应使用此代码。

安全管理

安全管理负责维护安全的计算环境。安全是组织基础结构的重要部分。安全基础弱的信息系统最终将遭受损害其安全的攻击。

检查挂起请求

可以随时将证书请求发布到颁发 CA。大多数证书都将使用 Active Directory 作为注册颁发机构 (RA) 或使用来自指定 RA 的预定义签名集自动颁发。如果您已经设置了需要 Certificate Manager 手动批准的证书类型,这些请求将排队等待,直到它们被批准或拒绝。

角色群集:

安全

频率:

每日

安全要求:

Certificate Managers

依赖性:

技术要求:

证书颁发机构管理控制台

任务详细信息

应该每日检查“请求”文件夹,以查看是否存在排队等待处理的请求。在颁发证书之前,应该仔细检查请求,以验证请求者和请求内容。检查请求中是否包含预期的主题名称、备用主题名称、密钥用法、策略和扩展。如果您对其中任何一条产生怀疑,请不要批准该请求。

还可以设置 CA 针对不同事件发送电子邮件警报。如果出现这种警报,则表明某个请求被挂起。请参阅过程为挂起证书请求设置 SMTP 警报

检查挂起请求

1.

以 Certificate Managers 成员的身份登录到颁发 CA。(可以重新回到证书颁发机构 MMC 来远程执行此任务。)

2.

打开证书颁发机构 MMC,然后打开“请求”文件夹。

3.

要查看文件夹中任何请求的详细信息,请右键单击该请求,然后单击“查看”菜单中的“查看属性/扩展”。

注意:“属性”选项卡中显示了作为请求的一部分接收的请求属性,“扩展”选项卡中则显示了将在证书中使用的证书扩展。每个扩展条目表明该扩展是包含在请求中、是服务器提供的值,还是由 CA 策略模块定义的。(最后一条原因通常表明该扩展是在证书模板中定义的扩展。)

4.

根据组织策略,您可能还希望通过个人、电话、电子邮件或类似方式获取有关该请求的某些其他信息。

5.

如果您认为该请求有效,可以右键单击该请求,然后单击“任务”子菜单中的“颁发”来批准该请求。如果您认为请求无效,可以单击同一菜单中的“拒绝”来拒绝该请求。

续订根 CA 证书

必须定期续订 CA 证书,以便从属 CA 和最终实体从此 CA 注册证书。此 CA 及其从属 CA 所颁发证书的截止日期不能迟于此 CA 证书的截止日期。续订 CA 证书的其他原因如下:

更改 CA 使用的密钥(在真正或怀疑受到安全威胁时)。

向 CA 添加证书策略(有资格的从属 CA)。

更改 CDP 或颁发机构信息访问 (AIA) 路径。

分割 CRL。

最好在每次续订时更改 CA 密钥。如果您希望续订时不更改密钥,可参考以下过程:续订根 CA 证书时不更改密钥

角色群集:

安全

频率:

每 8 年

安全要求:

在 CA 上的本地 Administrators

依赖性:

技术要求:

- Certutil.exe
- MSS 脚本
- 证书颁发机构管理控制台
- 文本编辑器

注意:续订根 CA 证书是很重要的事件。确保一切受影响的应用程序的所有者能在需要将新的根配置在自己的应用程序中时及时得到新根证书的通知。

任务详细信息

续订根 CA 证书

1.

以本地 Administrators 组成员的身份登录到根 CA。

2.

如果您需要更改密钥大小,必须编辑在 %systemroot% 目录中存储的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。在以下示例中,此值为 8,192。

[Certsrv_Server]
RenewalKeyLength=8192

注意:显示 8,192 位的密钥大小只是为了说明如何更改密钥大小。使用此密钥大小时应格外谨慎。虽然证书服务最高支持 16,384 位的密钥大小,但有些应用程序和系统在到根 CA 的证书链中的任何证书中都不支持大于 2,048 位的密钥大小。

如果您需要更改 CA 证书的有效期或证书策略,也必须在开始此过程之前在 CAPolicy.inf 文件(位于 %systemroot% 中)中进行指定。

3.

打开证书颁发机构管理控制台,然后从 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务将警告您它需要终止 CA 执行此操作。

4.

选择新密钥选项。证书服务将重新启动。

5.

从 CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。

6.

颁发 CRL,然后使用以下脚本命令将该 CRL 和新的 CA 证书复制到磁盘:

Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

7.

将磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员 — 而不必是颁发 CA。)

8.

以 Enterprise PKI Admins 组成员的身份登录,然后运行下列脚本:

Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

注意:虽然不必同时执行此操作,但最好同时续订所有从属 CA。(请参阅下一部分:续订颁发 CA 证书。)

9.

备份根 CA 的证书和密钥。(请参阅“备份 CA 密钥和证书”。)

10.

备份根 CA 的证书数据库和系统状态。(请参阅过程备份根 CA 数据库。)

续订颁发 CA 证书

必须定期续订 CA 证书,以便从属 CA 和最终实体继续从此 CA 注册证书。此 CA 所颁发证书的截止日期不能迟于此 CA 证书的截止日期。续订 CA 证书的其他原因如下:

更改 CA 使用的密钥(在真正或怀疑受到安全威胁时)。

向 CA 添加证书策略(有资格的从属 CA)。

更改 CDP 或 AIA 路径。

分割 CRL。

最好在每次续订时更改 CA 密钥。如果您希望在续订时不更改密钥,可参考过程:续订根 CA 证书时不更改密钥

角色群集:

安全

频率:

每四年

安全要求:

颁发 CA 上的本地 Administrators
根 CA 上的 Certificate Managers
Enterprise PKI Admins

依赖性:

技术要求:

- Certutil.exe
- MSS 脚本
- 证书颁发机构管理控制台
- 文本编辑器

要点:要成功续订 CA 证书,并将其发布到 Active Directory NTAuth 存储(在这里将 CA 标识为 Enterprise CA),必须使用同时属于 Enterprise PKI Admins 和本地 Administrators 组的帐户执行 CA 证书安装。前一个组具有将证书发布到目录的权限,而后一个组具有在 CA 上安装 CA 证书的权限。

任务详细信息

续订颁发 CA 证书

1.

以本地 Administrators 组成员的身份登录到颁发 CA。

2.

如果您需要更改密钥大小,必须编辑在 %systemroot% 目录中存储的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。

[Certsrv_Server]
RenewalKeyLength=4096

要点:如果您需要更改 CA 证书的有效期或证书策略,也必须在开始此过程之前在 CAPolicy.inf 文件(位于 %systemroot%中)中进行指定。

3.

打开证书颁发机构管理控制台,然后从 CA 对象的“任务”菜单中单击“续订 CA 证书”。

4.

选择新密钥选项。

5.

当系统提示要将续订发送到某个 CA 时,单击“取消”将请求文件保存到磁盘。此时将重新启动证书服务。

6.

将证书请求文件复制到磁盘。证书请求将在共享文件夹路径 (C:\CAConfig) 中生成和存储。将此文件 HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req 复制到磁盘。(请使用您的 CA 详细信息代替斜体文本)。

7.

将磁盘插入根 CA 中,然后以本地 Certificate Managers 组成员的身份登录。

8.

在证书颁发机构管理控制台中,单击 CA “任务”菜单中的“提交一个新的申请”,然后提交从颁发 CA 传来的请求(在子 CA 请求磁盘上)。

9.

根 CA 要求手动批准所有请求。在“挂起的请求”容器中找到该请求,验证“公用名称”字段中包含颁发 CA 的名称,然后批准(颁发)该请求。

10.

在“颁发的证书”容器中找到新颁发的证书,然后打开该证书。

11.

验证证书详细信息是正确的,然后单击“复制到文件”将证书导出到某个文件,并将该文件作为 PKCS#7 文件保存到磁盘上(以便重新传送给颁发 CA)。

12.

使用同时属于 Enterprise PKI Admins 和本地 Administrators 组的帐户重新登录到颁发 CA,然后插入该磁盘。

13.

在证书颁发机构管理控制台中,单击 CA “任务”菜单上的“安装证书”。从磁盘中安装颁发 CA 证书。此时将重新启动 CA。

14.

从 CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。

15.

将新的 CA 证书发布到 CDP Web 发布位置。(请参阅过程将颁发 CA 证书发布到 Web 服务器。)

16.

备份颁发 CA 的证书和密钥。(请参阅过程备份 CA 密钥和证书。)

17.

备份根 CA 的证书数据库和系统状态。(请参阅过程备份根 CA 数据库。)

18.

备份颁发 CA 的证书数据库和系统状态。(请参阅过程配置颁发 CA 数据库备份。)应始终在每天的常规备份中执行此操作。

续订根 CA 证书时不更改密钥

可以在每次执行计划的 CA 证书续订时更改根 CA 的密钥(请参考“续订根 CA 证书”任务)。如果您要更改 CA 策略、延长证书寿命等,您可能需要在续订 CA 证书时不续订 CA 密钥,而保留以前的密钥对。

角色群集:

安全

频率:

根据需要

安全要求:

在 CA 上的本地 Administrators

依赖性:

续订根 CA 证书

技术要求:

- Certutil.exe
- MSS 脚本
- 文本编辑器

任务详细信息

续订根 CA 证书而不更改 CA 密钥

遵循过程续订根 CA 证书进行操作,只是在系统提示您是否续订新密钥时,单击“否”。更改 CAPolicy.inf 文件中的 RenewalKeyLength 值将不会产生任何影响。

除了选择不生成新密钥之外,此过程与续订根 CA 证书过程相同。

续订颁发 CA 证书时不更改密钥

可以在每次执行计划的 CA 证书续订时更改 CA 的密钥。(请参阅过程“续订颁发 CA 证书”。)如果您要更改 CA 策略、延长证书寿命等,您可能需要在续订 CA 证书时不续订 CA 密钥,而保留以前的密钥对。

角色群集:

安全

频率:

根据需要

安全要求:

在 CA 上的本地 Administrators

依赖性:

续订颁发 CA 证书

技术要求:

- Cert util.exe
- MSS 脚本
- 证书颁发机构管理控制台
- 文本编辑器

任务详细信息

续订颁发 CA 证书而不更改 CA 密钥

遵循过程续订根 CA 证书进行操作,只是在系统提示您是否续订新密钥时,单击“否”。更改 CAPolicy.inf 文件中的 RenewalKeyLength 值将不会产生任何影响。

除了不选择生成新密钥之外,此过程与“续订颁发 CA 证书”过程相同。

注意:续订根 CA 证书是很重要的事件。确保一切受影响的应用程序的所有者能在需要将新的根配置在自己的应用程序中时及时得到新根证书的通知。

发布脱机 CRL 和 CA 证书

必须将脱机 CA 的 CRL 发布到联机位置,以便证书用户可以检查整个 CA 链的吊销状态。

角色群集:

安全

频率:

每六个月,或根据要求

安全要求:

- CA 上的本地 Administrators
- Enterprise PKI Publishers

依赖性:

- Enterprise PKI Publishers 必须具有修改 IIS 已发布文件夹中的文件的权限。
- 在 Active Directory 中的“公钥服务”容器上正确配置权限(请参阅“构建指南”)
- 正确配置 IIS 发布目录(请参阅“构建指南”)

技术要求:

- Certutil.exe
- MSS 脚本

任务详细信息

将脱机根 CRL 发布到 Active Directory 和 Web URL

1.

以 CA Admins 组成员的身份登录到根 CA。

2.

颁发 CRL,然后使用以下脚本命令将该 CRL 和新的 CA 证书复制到磁盘:

Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf

Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

3.

将磁盘插入颁发 CA 中。(严格来讲,该服务器不必是颁发 CA— 它只需是安装了 certutil.exe 和 MSS 脚本的域成员。)

4.

以 Enterprise PKI Publishers 组成员的身份登录,然后运行下列脚本:

Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

强制颁发联机 CRL

联机 Enterprise CA 的 CRL 是自动颁发和发布的,一般不需要强制颁发联机 CRL。但是,如果发生了严重的吊销事件(例如,CA 颁发的所有证书都被吊销),可能需要强制颁发联机 CRL,并要以尽可能短的延迟时间来发布新的 CRL。

注意:不能将 CRL 推出给客户端 — 他们将保留现有的缓存副本,直到这些副本过期。但是,发布了新的 CRL 之后,请求 CRL 的任何客户端都将收到该 CRL — 但是存在传播延迟。

角色群集:

安全

频率:

根据需要

安全要求:

在 CA 上的本地 Administrators

依赖性:

已经创建了管理组 OU 结构。

技术要求:

证书颁发机构管理控制台

任务详细信息

将脱机 CA CRL 颁发和发布到 Active Directory

1.

以 CA Admins 成员的身份登录到 CA,然后加载证书颁发机构管理控制台。

2.

在“吊销的证书”文件夹的“任务”菜单中单击“发布”,以发布新的 CRL。

3.

选择“新的 CRL”,以便只为新的增量 CRL 颁发基 CRL 或增量 CRL。

将颁发 CA 证书发布到 Web Server。

必须将颁发 CA 证书发布到 HTTP(超文本传输协议)AIA 位置。

角色群集:

安全

频率:

根据需要

安全要求:

Enterprise PKI Publishers

依赖性:

- Enterprise PKI Publishers 必须具有修改 IIS 已发布文件夹中的文件的权限。
- 正确配置 IIS 发布目录(请参阅“构建指南”)
- 更新 PKIParams.vbs 文件以反映正确的 CRL 目标路径。

技术要求:

- MSS 脚本
- Certutil.exe

任务详细信息

从技术角度讲,可以将 CA 配置成直接发布到“Web 服务器”文件夹。但是,由于安全和网络连接性方面的原因,有时这种方法并不可行。此处所讲的方法使用简单的文件复制技术,但通过扩展可以适用于大多数配置。

注意:这种方法不能用于直接发布到与 Internet 连接的 Web 服务器,因为它需要使用服务器消息块 (SMB) 文件共享。要发布到 Internet 服务器,请先使用以下技术发布到中间位置,然后再使用常规方法将内容安全地发布到 Web 服务器。必须考虑到这种方法所增加的滞后时间。

CA 证书很少更新,所以,只要续订了 CA 证书,即可手动发布到 AIA。

发布颁发 CA 的证书

1.

以 Enterprise PKI Publishers 组成员的身份、或者使用对已发布的“Web 服务器”文件夹具有写入权限的帐户登录到颁发 CA。

2.

如果 Web 服务器位于远程服务器上,请确保“Web 服务器”文件夹处于共享状态。记录共享文件夹的 UNC(通用命名约定)路径。

3.

如果 Web 服务器与 CA 在同一台服务器上,应记录该文件夹的本地路径。

4.

更新 C:\MSSScripts\PKIParams.vbs 中的 WWW_REMOTE_PUB_PATH 参数,使其与 Web 服务器文件夹的目标路径(默认为本地路径 C:\CAWWWPub)相匹配。

5.

运行以下命令将 CA 证书发布到 Web 服务器:

Cscript //job:PublishIssCertsToIIS
C:\MSSScripts\CA_Operations.wsf

注意:出于打印考虑,本命令在显示时分为 2 行;输入时请将其合并为一行。

将颁发 CA CRL 发布到 Web Server。

必须将颁发 CA CRL 发布到 HTTP CRL 分发点 (CDP) 位置。

角色群集:

安全

频率:

设置任务

安全要求:

在 CA 上的本地 Administrators

依赖性:

正确配置 IIS 发布目录(请参阅“构建指南”)
- 更新 PKIParams.vbs 文件以反映正确的 CRL 目标路径。

技术要求:

- MSS 脚本
- Certutil.exe
- Windows 任务计划程序服务
- SchTasks.exe

任务详细信息

从技术角度讲,可以将 CA 配置成直接发布到 Web 服务器文件夹。但是,由于安全和网络连接性方面的原因,有时这种方法并不可行。此处所讲的方法使用简单的文件复制技术,但通过扩展可以适用于大多数配置。

注意:这种方法不能用于直接发布到与 Internet 连接的 Web 服务器,因为它需要使用 SMB 文件共享。要发布到 Internet 服务器,请先使用以下技术发布到中间位置,然后再使用常规方法将内容安全地发布到 Web 服务器。必须考虑到增加这个额外步骤延长的延迟时间对 CRL 的时效性可能会造成的影响。

颁发 CA 频繁地颁发 CRL(如果是增量 CRL,将每日或每小时颁发一次)。因此,需要使用一种自动方法将 CRL 复制到 Web 服务器。

自动复制 CRL

1.

使用属于本地 Administrators 组的帐户登录到颁发 CA。

2.

确保可以从此服务器访问“Web 服务器”文件夹(作为远程共享或本地路径)。

3.

如果 Web 服务器位于远程服务器上,请为颁发 CA 计算机帐户授予对文件系统文件夹的“写入”权限(“修改”权限),以及对与已发布的“Web 服务器”文件夹相对应的共享的“写入”权限(“更改”权限)。如果 Web 服务器是目录林的成员,可以使用 Cert Publishers 组授予权限,这可确保所有 Enterprise CA 都具有将证书和 CRL 发布到此文件夹所需的权限。不必更改 Web 服务器权限。

4.

通过运行以下命令,创建复制 CRL 的预定作业:

schtasks /create /tn "Publish CRLs" /tr "cscript.exe
//job:PublishIssCRLsToIIS \"C:\MSSScripts\CA_Operations.wsf\""
/sc Hourly /ru "System"

(出于打印考虑,本命令在显示时分为 3 行;输入时请将其合并为一行。)

注意:这样将创建每小时的预定作业,将 CRL 从 CA 发布到 Web 服务器。这将足以处理每日甚至半日增量 CRL 复制计划。如果您的 CRL 计划比该计划频繁,可以通过更频繁地运行复制作业来进行弥补。有一条很好的原则可以遵循,即复制作业计划应该是增量 CRL 计划的百分之五到百分之十左右。

存储管理

存储管理处理现场和非现场数据存储,以达到数据还原和历史存档的目的。存储管理小组必须确保备份和档案的物理安全。存储管理的目标是定义、跟踪和维护生产 IT 环境中的数据及数据资源。

配置颁发 CA 数据库备份

本任务的目的是备份 CA 个人密钥和证书、证书数据库以及证书服务配置信息的副本。证书服务配置信息包括任何操作系统配置和 CA 所依赖的其他状态信息。

角色群集:

基础结构

频率:

设置任务

安全要求:

在 CA 上的本地 Administrators

依赖性:

必须提供下列设备或过程:
- 公司服务器磁盘/文件备份
- 安全的存储位置
- Alert 升级和监视系统(如 MOM)

技术要求:

- Windows 备份
- 公司备份系统
- Windows 任务计划程序服务
- SchTasks.exe

任务详细信息

此任务将配置计划任务,用于在每夜执行 CA 服务器的系统状态备份。CA 备份假定您当前具有公司服务器备份系统 — 本过程中的备份将输出到备份文件中,而公司备份系统又可以备份该文件。这可能是一个网络备份或本地设备备份。该解决方案还假定公司服务器备份系统每夜运行以备份 CA 服务器的磁盘。

注意:如果您正在使用 HSM,本过程可能会备份加密的密钥资料(取决于 HSM 的工作方式),但在没有相同的 HSM 和 HSM 访问密钥的情况下,这种备份在还原计算机上通常是不可用的。请按照 HSM 供应商的指导进行备份,或者按照指导保护好密钥材料和访问密钥。

配置 CA 备份

1.

创建一个用于存储临时备份文件的目录 — C:\CABackup — 并通过运行以下命令来确保该目录的安全:

cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup
Operators":C

(请注意,这是一个单行命令,在此处为了增强可读性而分行显示)

2.

如果选择不同的文件夹用于存储备份文件,必须在 pkiparams.vbs 中更新相关设置。可以根据需要更改以下行中所显示的路径。

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup

注意:由于使用相同的脚本功能来备份脱机 CA 和联机 CA,因此,如果要对不同的 CA 使用不同的路径,必须单独创建多份脚本。

3.

通过运行以下命令,将备份作业计划为每夜运行。此命令将作业设置为在每夜 2:00 A.M.运行。

SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe
//job:BackupCADatabase \"C:\MSSScripts\ca_operations.wsf\"" /ST 02:00

注意:此命令以多行显示进行打印;作为单行输入。

另外,脚本名 C:\MSSScripts\ca_operations.wsf 两侧的反斜杠仅在路径名中存在空格时才需要使用。如果路径名中没有空格,则可以省略它们。

4.

配置公司服务器备份系统,以每晚将临时备份文件夹 (C:\CABackup) 的内容备份到可移动媒体。如果可能,可以设置预处理脚本,以查找备份脚本文件在运行时创建的锁定文件(BackupRunning.lck 文件存储在临时备份文件夹中)。如果该文件存在,则前面的备份已失败或还在运行。或者,使公司备份系统运行 CA 备份脚本作为预执行作业。

注意:
备份脚本 BackupCADatabase 将查找锁定文件,如果该文件存在,脚本将向应用程序日志中写入错误事件:

Source: CA Operations

Event ID: 30

Event Type: Error

CA 备份可能无法启动,因为前一个作业的锁定文件 C:\CABackup\BackupRunning.lck 仍然存在。可能表明前面的备份还在运行。

如果公司服务器备份系统本身不能执行预处理检查或执行脚本,请安排在系统状态备份启动后的某个合适时间启动服务器备份。要估计所允许的时间,请在已关闭证书服务的服务器上运行系统状态备份(同时启用“验证”)。(关闭 CA 将防止此测试备份的 CA 日志被截断。)这将备份约 500 兆字节 (MB) 的系统状态数据。记录此操作所花费的时间,然后计算 CA 数据库备份加上系统状态备份大概所需的时间:

Ttotal = TSysStateOnly x (500 + Nusers) + 500

如果单独的系统状态备份需要 10 分钟,则允许具有 3,000 个用户的 CA 的备份时间为 70 分钟(这是假定每个用户和计算机每年使用五个证书,并且存储 5 年)。这只是一个粗略的说明;再为其添加证书数据库的数量 — 1 千兆字节 (GB)/50,000 证书。

5.

适当地存储备份媒体。

告诫:T由于此备份数据包含 CA 自身的个人密钥数据,所以此备份数据高度敏感。您必须向对 CA 一样谨慎和安全地传输和存储此数据。应该将备份数据与 CA 本身存储在不同的物理站点。一旦此站点的所有计算机设备被损坏或不可访问,这将允许您还原 CA。

配置根 CA 数据库备份

此任务的目的是为备份准备 CA 私钥和证书、证书数据库和证书服务配置信息。证书服务配置信息包括任何操作系统配置和 CA 所依赖的其他状态信息。

角色群集:

基础结构

频率:

设置任务

安全要求:

在 CA 上的本地 Administrators

依赖性:

- 本地备份设备具有 500 MB 以上的容量
- 安全的存储位置

技术要求:

- Windows 备份
- 可移动媒体(如 CD-RW 或磁带)

任务详细信息

根 CA 通常只颁发少数几个证书,因此数据始终不会很大。很少发生数据更改 — 能几年一次。另外,本过程对于任何其他脱机 CA(如脱机中间 CA - 如果您选择使用中间 CA)都是一样的。

根 CA 是脱机工作的,因此它需要使用某种本地备份设备(如磁带驱动器或可写 CA)来存储备份文件。

注意:如果您正在使用 HSM,本过程可能会备份已加密的密钥资料(取决于 HSM 的工作方式),但在没有相同的 HSM 和 HSM 访问密钥的情况下,已备份的密钥在还原计算机上是不可用的。请按照 HSM 供应商的指导进行备份,或者按照指导保护好密钥材料和访问密钥。

配置 CA 备份

1.

创建一个用于存储备份文件的目录 — C:\CABackup — 并通过运行以下命令来确保该目录的安全:

cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup
Operators":C

注意:出于打印考虑,本命令在显示时分为 2 行;输入时请将其合并为一行。

2.

如果选择不同的文件夹来存储备份,必须在 pkiparams.vbs 中更新相关设置。可以根据需要更改以下行中所显示的路径。

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup

备份根 CA 数据库

此任务的目的是创建 CA 私钥和证书、证书数据库以及证书服务配置信息的备份副本。证书服务配置信息包括任何操作系统配置和 CA 所依赖的其他状态信息。

角色群集:

操作

频率:

每次颁发或吊销新证书时。

安全要求:

CA Backup Operators

依赖性:

- 本地备份设备具有 500 MB 以上的容量
- 安全的存储位置

技术要求:

- Windows 备份
- 可移动媒体(如 CD-RW 或磁带)

任务详细信息

根 CA 通常只颁发少数几个证书,因此数据始终不会很大。很少发生数据更改 — 可能几年一次。另外,本过程对于任何其他脱机 CA(如脱机中间 CA - 如果您选择使用中间 CA)都是一样的。

根 CA 是脱机工作的,因此它需要使用某种本地备份设备(如磁带驱动器或可写 CA)。

注意:如果您正在使用 HSM,本过程可能会备份已加密的密钥资料(取决于 HSM 的工作方式),但在没有相同的 HSM 和 HSM 访问密钥的情况下,已备份的密钥在还原计算机上是不可用的。请按照 HSM 供应商的指导进行备份,或者按照指导保护好密钥材料和访问密钥。

备份根 CA

1.

通过执行以下命令,将 CA 数据备份到临时文件中:

cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsf

2.

这将在以前选定的路径(默认路径为 C:\CABackup)中生成备份文件 (CABackup.bkf)。将此文件复制到可移动媒体,并正确存储此备份媒体。

告诫:T由于此备份数据包含 CA 自身的个人密钥数据,所以此备份数据高度敏感。您必须向对 CA 一样谨慎和安全地传输和存储此数据。应该将备份数据与 CA 本身存储在不同的物理站点。一旦此站点的所有计算机设备被损坏或不可访问,这将允许您还原 CA。

备份 CA 密钥和证书

备份 CA 证书和密钥时,应该独立于证书数据库。如果 CA 服务器出现故障,并无法在足够的时间内恢复,则可能需要 CA 私钥和证书,用以签名证书吊销列表 (CRL)。

角色群集:

操作

频率:

- 每年
- 每次更新 CA 证书时 — 以时间较早的为准

安全要求:

CA Backup Operators

依赖性:

- 公司服务器磁盘/文件备份
- 安全的存储位置

技术要求:

- Certutil.exe
- MSS 脚本

任务详细信息

CA 密钥和证书仅占用数千字节 (KB) 的存储空间,因此可以将其保存在磁盘上。此项任务应用于组织内的根 CA 和任何中间和颁发 CA。

注意:如果正在使用 HSM,则此步骤不会如所述那样起作用。请按照 HSM 供应商的指导进行备份,或者按照指导保护好密钥材料和访问密钥。

将证书和密钥导出到磁盘

1.

运行以下命令:

cscript //job:BackupCAKeys c:\MMSScripts\ca_operations.wsf

在不同的磁盘上制作至少两份独立的备份(磁盘并不总是完全可靠)。清晰正确地标记磁盘并加注日期,因为可能要经过一段时间,才再次需要它们。

上一个脚本使用 certutil.exe 将 CA 密钥和证书导出到以下形式的 PKCS#12 (P12) 文件中:

A:\CAKeyBackup\CAComputerName\yymmdd_hhmm\CA Common Name.p12

2.

在出现提示处输入密码。

要点:将此密码记录并存储在与密钥备份不同的位置上,但要同样安全。密码记录应该清楚地显示出它与哪个备份(磁盘标签、日期和 CA 名称)相关。可能要经过很多个月或很多年才需要这些密钥,任何人不太可能记住当时使用的密码。一定要销毁此密码的所有其他记录。不要使用管理人员已知的密码。

3.

适当地存储磁盘。和 CA 数据库备份一样,给予这些密钥备份最安全的保护。将至少两份的证书和密钥备份存储在两个不同的安全位置(例如保险柜)。

测试 CA 数据库备份

检查 CA 备份,以确保备份过程和技术得到正确执行。

角色群集:

操作

频率:

- CA 投入经营性使用之前
- 每月
- 在对备份技术或过程进行更改时重新测试

安全要求:

测试计算机上的本地 Administrators 或 Backup Operators

依赖性:

公司服务器磁盘/文件备份

技术要求:

- Windows 备份
- 公司备份系统
- Certutil.exe
- Cipher.exe

任务详细信息

必须用相同的磁盘布局将系统状态备份还原到系统上。例如,Windows 必须安装在与得到备份的系统相同的目录下,存储 Windows 文件(例如分页文件)的驱动器布局、CA 数据库和日志必须与得到备份的原始 CA 相同。

要点:自系统状态备份文件从备份媒体还原后,当然在系统状态还原开始前,还原的测试服务器应该保持脱机状态。这是为了防止已还原的 CA 密钥发生不必要的泄露,而且,这也防止了重复的名称和 IP 地址在测试服务器和原始服务器间发生冲突。

警告:如果正在使用 HSM,此步骤不足以完全还原 CA。根据 HSM 的工作方式,如果没有相同的 HSM 和 HSM 访问密钥,还原的计算机将不可用。对于普通的测试,这可能就足够了,但应该定期用 HSM 恢复执行完全还原,以确保您的过程和备份技术工作正常。请按照 HSM 供应商的指导进行备份和还原,否则按照指导保护好密钥材料和访问密钥。

还原 CA

1.

将系统状态备份文件从备份媒体还原到 C:\CABackup 文件夹中。

2.

运行 Windows“备份”实用程序,并在 C:\CABackup 中选择已还原的备份文件。您需要是在该计算机上具有备份和用户权限的组(例如 CA Backup Operators、Backup Operators 或 Administrators)的成员。

3.

单击“还原”。

4.

重启系统。

5.

验证每项任务都按预期执行。

6.

测试结束时,清除测试服务器(或至少清除密钥)。

要点:如果您只希望删除密钥,请运行 cipher 命令,以清除磁盘的未分配部分:

Cipher /W:%AllUsersProfile%

要执行此项操作,您需要是本地 Administrators 组的成员。使用路径 %allusersprofile%,这样,cipher 就可以运行在保存密钥材料的驱动器上。

测试 CA 密钥备份

定期检查 CA 密钥备份,以确保一旦需要它们,它们是有效的。

角色群集:

操作

频率:

- 安装任务(CA 投入到经营性使用前)
- 每隔六个月

安全要求:

测试计算机上的本地 Administrators

依赖性:

CA 密钥的以前备份

技术要求:

- Certutil.exe
- Cipher.exe

任务详细信息

可以在任意系统上安装 CA 密钥和证书(但是,由于它们有极高的敏感性,因此该系统应该是受信任的并且脱机的系统,特别在脱机根 CA 密钥的情况下)。要确保从计算机删除密钥材料的所有痕迹,请创建一个独立的临时帐户,专用于此目的。

注意:如果正在使用 HSM,则此步骤不会如所述那样起作用。请按照 HSM 供应商的指导进行备份和还原,否则按照指导保护好密钥材料和访问密钥。

还原 CA 密钥

1.

确保计算机已与网络断开,并作为本地 Administrators 组的成员登录,然后创建 TestCAKeys 本地用户帐户。

2.

使用此帐户登录。

3.

插入含有要测试的 CA 密钥备份的磁盘。

4.

使用 Windows 资源管理器导航至 P12 密钥文件,双击“导入向导”。

5.

出现提示时,输入密码,同时请不要选中复选框,以给予密钥高度保护或使它们可导出。

6.

依次单击“将所有证书放入下列存储区”和“浏览”,然后选择“个人存储区”作为还原 CA 密钥的目标位置。

7.

打开证书管理控制台,并浏览至个人存储区。找到已还原 CA 的 CA 证书,然后打开证书,检查您是否有对应的私钥。

测试还原的密钥

1.

获取正受测试的 CA 所颁发的 CRL 或证书。

2.

根据您在上一步是选择 CRL 还是选择证书,运行下面其中一个相关的命令,用之前获取的文件名称替换 CRLFileName CertFileName

Certutil -sign CRLFileName.crl NewCRL.crl
Certutil -sign CertFileName.cer NewCertFile.cer

3.

出现提示时,选择 CA 证书(上一个步骤中导入的)作为签名证书。

4.

验证签名操作是否成功,输出是否类似以下内容:

C:\CAConfig>certutil -sign "Woodgrove Bank Issuing CA 1.crl"
"Woodgrove Bank Issuing CA 1xxs.crl"

ThisUpdate: 2/10/2003 10:52 PM

NextUpdate: 2/25/2003 3:11 PM

CRL Entries: 0

  

Signing certificate Subject:

CN=Woodgrove Bank Issuing CA 1

DC=woodgrovebank,DC=com

Output Length = 970

CertUtil: -sign command completed successfully.

现在必须从测试系统清除密钥。

从系统清除密钥

1.

作为本地 Administrators 组的成员登录,删除 TestCAKeys 帐户的用户配置文件(使用“我的计算机”中的“高级属性”)。

2.

删除 TestCAKeys 帐户。

3.

通过运行以下命令,安全地擦除磁盘的未分配区域,以永久删除密钥的痕迹:

Cipher /W:%AllUsersProfile%

注意:指定 %allusersprofile% 作为路径,可确保 Cipher.exe 运行在保存用户配置文件的驱动器上。它清除整个驱动器,而不仅仅是指定的路径。

从颁发 CA 证书数据库存档和删除旧数据

CA 数据库随着每个证书的颁发单调递增,大小不会减小。不过,严格来说,到期的证书不再需要,可以将其清除。数据库越大,操作(如,CA 启动、关闭以及在数据库中查找证书)所用时间就越长。因此,建议定期从数据库删除旧数据。

请不要从数据库删除 CRL,因为在验证过去创建的签名的有效性时可能需要它们。例如,可能使用它们验证在 x 年前证书用于签名文档时它是否被吊销。

角色群集:

操作

频率:

每年

安全要求:

CA Backup Operators
在 CA 上的本地 Administrators

依赖性:

技术要求:

- Certutil.exe
- 可移动媒体(例如,CD-RW 或磁带)

- 公司备份系统

任务详细信息

此过程仅适用于颁发 CA;因为根 CA 仅颁发很少数量的证书,所以它不会有证书数据库存储问题。

1.

作为 CA Backup Operators 的成员登录 CA。

2.

使用以下命令存档现有的 CA 数据库:

Certutil -backupDB BackupFolder keeplog

警告:请不要执行配置颁发 CA 数据库备份一节所含的过程,因为如果普通备份需要还原,这会删节日志,可能导致信息的丢失。

3.

BackupFolder/database 的内容复制到可移动媒体,并存储在安全的存档中。

4.

注销,然后再作为本地 Administrators 组的成员登录。

5.

通过运行以下命令,清除早于日期 mm/dd/yyyy 的证书请求:

CertUtil -deleterow mm/dd/yyyy Request

6.

运行以下命令清除在日期 mm/dd/yyyy 前到期的证书(此 CA 颁发的证书的最长有效期为两年,因此三年是安全的,但您可能要保留五年或更多时间):

CertUtil -deleterow mm/dd/yyyy Cert

从 CA 存档安全审核数据

存档和存储审核日志,以遵守法律和法规要求,或遵守内部安全政策。

角色群集:

操作

频率:

- 每月(颁发 CA)
- 每隔 6 个月(根 CA)

安全要求:

- CA Auditors
- 在 CA 上的本地 Administrators

依赖性:

用于复制事件日志的可移动媒体

技术要求:

- 事件查看器
- 可移动媒体(例如,CD-RW 或磁带)

任务详细信息

存档安全事件日志

1.

作为 CA Auditors 和本地 Administrators 组的成员登录服务器(创建同时属于两组的帐户)。

2.

通过依次单击“开始”、“所有程序”和“管理工具”,打开事件查看器。

3.

单击“安全日志”文件夹。

4.

右键单击它,然后单击“另存日志文件”。

5.

将日志保存到临时文件。

6.

复制到可移动媒体 (CD-RW),然后删除临时文件。

从 Active Directory 导出证书模板

可以从该目录保存证书模板定义,这样,将来还原它们时就不必执行完全目录还原。

角色群集:

操作

频率:

根据需要

安全要求:

Domain Users

依赖性:

技术要求:

- ldifde.exe
- 证书模板 MMC

任务详细信息

此步骤说明将证书模板 Active Directory 对象导出到文件的简单方式。如果需要,可以重新导入到目录中。此方法仅保存模板对象的轻型目录访问协议 (LDAP) 信息。其他信息,特别是安全信息(所有权、权限等),不使用此步骤保存。

注意:备份和还原 Active Directory 对象的最佳方式是使用专门的目录备份方法,如 Windows 系统状态备份。不过,还原已更改对象的早期版本需要 Active Directory 授权还原,该还原过程非常复杂。此步骤说明备份和还原证书模板对象快照的简单方式。

导出证书模板对象

1.

确定要备份的模板名称。不必与模板显示名称相同。在模板的“常规”选项卡上查看模板属性(使用证书模板 MMC),可以看到“模板名”和“模板显示名”。

2.

使用域用户帐户登录到域成员服务器或域控制器。

3.

运行以下命令将模板详细信息保存到文件 templatename.ldif,用证书模板的名称替换 templatename,并用林的域名 (DN) 替换 DC=woodgrovebank,DC=com

ldifde -f templatename.ldif -d "cn=templatename, cn=Certificate
Templates,cn=Public Key
Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"

(该命令为印刷方便而以多行显示;请将其作为单行命令输入。)

4.

templatename.ldif 文件将被保存到当前目录中。请将 templatename.ldif 文件存储于安全位置。

将证书模板导入到 Active Directory 中

在从备份还原模板(例如,反转不需要的模板修改)的实例中,可以将以前保存的证书模板定义重新导入到 Active Directory 中。

角色群集:

安全

频率:

根据需要

安全要求:

Enterprise PKI Admins

依赖性:

为了反转不需要的模板修改,可能需要从备份还原模板。

技术要求:

ldifde.exe

任务详细信息

此步骤说明如何从文件中还原证书模板定义。该文件必须是以前使用过程从 Active Directory 导出证书模板创建的。此方法仅可以还原模板对象的 LDAP 信息。其他信息,特别是安全信息(所有权、权限等),不使用此步骤保存。

注意:建议备份和还原 Active Directory 对象的唯一方式是使用专门的目录备份方法,如 Windows 系统状态备份。不过,还原已更改对象的早期版本需要 Active Directory 授权还原,该还原过程非常复杂。此步骤说明备份和还原证书模板对象快照的简单方式。

此步骤不能替代 Active Directory 备份和还原,应只用于所述的情况中,范围很窄。

导入证书模板对象

1.

检索通过步骤从 Active Directory 导出证书模板创建的已导出模板定义。

2.

作为 Enterprise PKI Admins 登录域成员服务器或域控制器。

3.

如果打算替换现有的模板,请备份不需要的模板(使用上面的步骤)。记下模板权限,然后删除此模板。

4.

用“记事本”或类似的文本编辑器打开文件,查找以“objectGUID:”开始的行,其类似于以下内容(但冒号后面的字符有所不同):

objectGUID:: b/pVt//+I0i9hp8aJ7IWRg==

5.

删除该行,小心不要对文件做其他更改,然后保存文件。

6.

运行以下命令,将模板从文件 templatename.ldif 导入到 Active Directory 中,用证书模板的名称替换 templatename

ldifde -f templatename.ldif -i

7.

打开证书模板管理单元并查看还原的模板,以验证该步骤是否起作用。

8.

将您在步骤 3 中记录的权限或适合此模板的权限应用到还原的模板上。

服务监视和控制

服务监视允许操作人员实时观察 IT 服务的运行状况。

在本节中引用 MOM 时,假设您的 MOM 部署遵循了“MOM Operations Guide”(英文)中的原则。

MOM 不是必需的;其仅用于演示。有关“MOM Operations Guide”(英文)的详细信息,请参阅其他信息一节。

对监视警报进行分类

监视系统应只向操作人员发出最重要的警报。如果所有次要错误都升级而发出事件警报,操作人员会很快搞不清哪些是紧急警报,哪些不是。

角色群集:

基础结构

频率:

设置任务

安全要求:

依赖性:

- 在组织中到位的容量规划过程
- 支持过程的分析工具

技术要求:

操作警报控制台(例如 MOM)

任务详细信息

本文档中使用以下警报类别。在这些警报类别中,只有前三个类别应该在操作员控制台上生成警报。在后面的任务说明中将引用这些类别。

表 10:警报类别

警报类别说明

服务不可用

应用程序或组件完全不可用。

违反安全

应用程序正遭受攻击或已遭到破坏。

严重错误

当应用程序遇到需要不久(但不一定是立即)执行管理操作的严重错误时。应用程序或组件运行性能级别不达标,但仍能执行关键操作。

错误

当应用程序遇到不需要任何立即的或可能是任何管理操作或解决方法的瞬态问题时。应用程序或组件运行性能级别可接受,仍能执行所有重要操作。

警告

当应用程序产生不需要立即的或可能是任何管理操作或解决方法的警告消息时。应用程序或组件正以可接受的性能级别运行,但仍然能够执行所有关键操作。不过,如果该问题持续存在,此状况可能会变成“错误”、“严重错误”或“服务不可用”

信息

当应用程序生成信息性事件时。应用程序或组件正以可接受的性能级别运行,并且正在执行所有关键和非关键操作。

成功

当应用程序生成成功事件时。应用程序或组件运行性能水平可接受,正在执行所有重要和非重要操作。

监视证书服务容量限制

检测潜在的容量约束是将服务保持在最佳级别所必需的。当子系统接近运行容量的极限时,性能急剧下降(通常是非线形的)。因此,监视容量趋势并及早地识别和处理未来限制趋势非常重要。

角色群集:

基础结构

频率:

设置任务

安全要求:

监视解决方案要求的必需权限。

依赖性:

输出结果自动送入 Capacity Management SMF。

技术要求:

- 性能监视器
- 性能计数器汇总程序(例如 MOM)
- 操作警报控制台(例如 MOM)
- 容量规划工具

任务详细信息

在证书服务中识别容量限制时,以下性能计数器极其有用。处理器和磁盘是证书服务使用最频繁的资源,因此将很可能比网络或内存更早地显现出限制。

表 11:证书服务的密钥容量监视计数器

性能对象性能计数器实例

处理器

处理器时间百分比

_Total

物理磁盘

磁盘时间百分比

_Total

物理磁盘

平均磁盘读取队列长度

_Total

物理磁盘

平均磁盘写入队列长度

D: (CA - DB)
C: (CA - Log)

网络接口

总字节数/秒

NW 适配器

内存

已提交的使用中字节数百分比

- - -

有关容量限制和相关性能计数器的更多一般性信息,请参阅 Microsoft 知识库 Q146005“Optimizing Windows NT for Performance”,其网址为:http://support.microsoft.com/default.aspx?scid=146005(英文)。

同时还有必要监视任何支持基础结构上的容量指示器。关键项如下:

证书服务与 Active Directory 之间的通信。(企业 CA 使用 Active Directory 进行验证和授权服务,读取和存储 CA 和 PKI 配置信息,并根据证书类型,向该目录发布颁发的证书。)

客户端与 Active Directory 之间的有关证书通信。(客户端从 Active Directory 读取 CA 和 PKI 信息 — 这包括下载 CRL,每星期每个客户端可以下载数兆字节。)

客户端与 Web 服务器之间的有关证书通信。(客户端可能从 Web 服务器检索 CRL 和 CA 证书,但这不大可能产生足以造成容量限制的负载,除非服务器负载已非常重。)

监视证书服务运行状况和可用性

证书颁发机构通常不提供联机或实时服务(诸如 Active Directory 或 Microsoft SQL Server™ 等服务则相反,例如,为了提供有用的服务,它们必须持续联机。)不过,CA 操作有些方面非常重要,需要联机响应:

吊销信息的可用性 — 对于要检查证书吊销状态的任何证书用户,CRL 必须是可用的。

CA 证书的有效性 — CA 具有的证书当前必须有效。无效的 CA 证书阻止该 CA 或它的子级颁发的任何证书的验证。它还阻止新证书的颁发。

证书注册服务的可用性 — 如果 CA 服务不可用,没有人能够注册或更新证书。

如果前两个有一个