通过

吊销服务器许可方证书

如果出现未预料的情况而导致 RMS 服务器受损,则组织可能需要吊销服务器许可方证书。未保存在硬件安全模块中的私钥很容易被窃取。组织中的服务器许可方证书和密钥可能被控制服务器的攻击者泄露,另外心怀不满的雇员也可能复制或删除证书或密钥。吊销操作可以限制恶意用户的破坏和滥用。

默认情况下,任何许可证或证书都可以由其颁发主体吊销。由于 RMS 服务器负责颁发与受保护的内容相关联的许可证和证书,因此,如果需要,您总是可以吊销它们。如果授权服务器遭到破坏,您可以吊销它的服务器许可方证书。吊销服务器许可方证书后,该服务器已颁发的所有证书和许可证都将无效。有关吊销许可证和证书的操作说明,请参阅本主题中前面的“执行吊销”。

但是,根认证群集的情况比较特殊。根认证群集的服务器许可方证书由 Microsoft 注册服务颁发,在默认情况下,只有 Microsoft 注册服务可以吊销该服务器许可方证书。

仅当获得法院命令并向法院提供了服务器的公钥时,Microsoft 才能吊销根认证服务器的服务器许可方证书。当法院通知 Microsoft 已经发出吊销命令后,Microsoft 将根据公钥在其吊销列表中指定该服务器许可方证书,并使用户可以访问该列表。如果要吊销其许可证的服务器满足下面任一条件,即可向法院请求吊销命令:

  • 您是该服务器的所有者,且该服务器的私钥已被泄露。
  • 您是该服务器发布的内容的所有者,且该内容是在侵犯版权的情况下发布的。

按照本部分前面的“部署吊销列表”中所述的步骤从 Microsoft 获取吊销列表并分发它们,这些吊销列表包括根认证服务器的已吊销服务器许可方证书。

在设置根认证服务器时,您可以指定有权吊销根认证群集的服务器许可方证书的公钥。该公钥既可以属于组织,也可以属于第三方。经相应私钥签名的吊销列表可以吊销服务器许可方证书。

要吊销根认证服务器的服务器许可方证书,您可以创建一个吊销列表,在其中指定该服务器许可方证书,然后使用组织或第三方的私钥进行签署,最后将该吊销列表分发给所有用户。有关操作说明,请参阅本主题中前面的“部署吊销列表”中的“部署组织的吊销列表”。

您可以在吊销列表中使用以下参数来吊销服务器许可方证书:

  • GUID。可以根据证书的全局唯一标识符 (GUID) 来吊销服务器许可方证书。有关在吊销列表中使用此参数的信息,请参阅本主题中前面的“创建吊销列表”中的“根据 GUID 吊销证书和许可证”。
  • 哈希值。可以根据证书正文中的 Unicode 字符的 SHA-1 哈希值来吊销服务器许可方证书。有关在吊销列表中使用此参数的信息,请参阅本主题中前面的“创建吊销列表”中的“根据哈希值吊销证书和许可证”。

要获得配置的 RMS 系统的服务器许可方证书,您需要查询 RMS 配置数据库。以下步骤说明了如何从 SQL 配置数据库获取此信息,并将其保存到一个文件以便使用浏览器方便地读取:

  1. 打开 SQL 查询分析器,然后连接到根认证服务器的配置数据库。

  2. 在“查询”菜单上,单击“文本显示结果”。

  3. 在“工具”菜单上,单击“选项”,打开“选项”对话框。单击“结果”选项卡,然后将“每列最多字符数”设置为 8192

  4. 在“查询”对话框中,输入以下查询字符串:

    select DRMS_XrML_Certificate.s_certificate from DRMS_XrML_Certificate, DRMS_LicensorCertificate, DRMS_ClusterConfiguration where DRMS_ClusterConfiguration.CurrentLicensorCertID = DRMS_LicensorCertificate.i_CertID and DRMS_LicensorCertificate.i_CertificateID = DRMS_XrML_Certificate.i_CertificateID

  5. 复制“结果”窗口中的结果,然后将其粘贴到文本编辑器(如记事本)中。将结果保存到文件扩展名为 .xml 的文件中。

有关如何在吊销列表中使用此信息的详细资料,请参阅本主题中前面的“创建吊销列表”。

将服务器许可方证书信息另存为 XML 文件后,即可以按照下列步骤从该文件中提取公钥:

  1. 使用 XML 编辑器或文本文件编辑器打开服务器许可方证书的 XML 文件。
  2. 在 <ISSUEDPRINCIPALS> 部分,复制 <PUBLICKEY> 元素。
  3. 将此信息保存到可以提交给法院的某个文件中或组织内吊销列表中的某个位置。

完成吊销根认证群集的服务器许可方证书后,由 RMS 系统颁发的所有证书和许可证将对需要吊销列表的内容无效,且用户将无法访问这些内容。此过程不受用户所持许可证类型的影响。要保留由许可证被吊销的服务器颁发的内容,则必须在实现吊销列表前执行以下操作之一:

  • 在不使用 RMS 保护方法的情况下保存内容。
  • 在不要求吊销列表的情况下重新发布内容。

不论是由 Microsoft 吊销还是由第三方吊销,吊销列表都会影响所有绑定请求,因为该列表是由用户许可证信任链中的主体的私钥签署的。因此,涉及由配置的 RMS 系统颁发的许可证的所有绑定请求(通过使用已吊销的服务器许可方证书)都将失败。

备注

Microsoft 只能在法院判决要求吊销服务器许可方证书时才能这样做。