设计和实现 AD CS

  • 14 分钟

确保以最佳方式设计内部 CA 非常重要。 你的设计会对 PKI 环境的安全和操作方面产生重大影响。

设计基于 AD CS 的层次结构

在实现 AD CS 之前,首先应设计 CA 层次结构。 在设计过程中,应确定需要多少个 CA 层,以及每一层中的 CA 的用途。 建议不要构建超过三个级别的 CA 层次结构,除非是在复杂环境、高度安全的环境或分布式环境中。 最常见的情况是,CA 层次结构具有两个级别,根 CA 位于顶级,发证 CA 位于第二个级别。 通常,可使用根 CA 构建 CA 层次结构。 在这种情况下,根 CA 保持脱机状态,同时依赖于从属 CA 来颁发和管理证书。

注意

多级 CA 层次结构不是必需的。 对于简单的小型环境,可以只实现根 CA。 在这种情况下,根 CA 还提供证书颁发和管理功能。

一些更复杂的 CA 设计包括:

  • 包含策略 CA 的 CA 层次结构。 策略 CA 是一个从属 CA,在 CA 层次结构中位于根 CA 下方、其他从属 CA 上方。 可使用策略 CA 向其从属 CA 颁发 CA 证书。 CA 证书反映了组织为保护其 PKI 而实现的策略和过程、验证证书持有者身份的流程,以及强制执行证书管理过程的流程。 策略 CA 只向其他 CA 颁发证书。 接收这些证书的 CA 必须遵守并强制实施策略 CA 定义的策略。 使用策略 CA 并非强制要求,除非组织的不同部门或位置需要不同的颁发策略和过程。 例如,组织可以为其在内部颁发给员工的所有证书实现一个策略 CA,并为其向承包商颁发的所有证书实现另一个策略 CA。
  • 具有交叉证书信任的 CA 层次结构。 在此场景中,两个独立的 CA 层次结构在以下情况下进行互操作:一个层次结构中的 CA 向另一个层次结构中的 CA 颁发交叉认证的 CA 证书。 执行此操作会在不同的 CA 层次结构之间建立相互信任。

The various CA hierarchy options, including policy CA usage, a two-tier hierarchy, and a cross-certification trust.

独立CA 与企业 CA

使用 AD CS 时,可以部署两种类型的 CA:独立 CA 和企业 CA。 这些 CA 类型与层次结构无关,而是与功能以及与 AD DS 的集成有关。 独立 CA 不依赖于 AD DS。 企业 CA 需要 AD DS 才能提供附加功能(例如自动注册)。 自动注册功能允许域用户和已加入域的设备在通过组策略启用自动证书注册后自动注册证书。

下表详细说明了独立 CA 与企业 CA 之间最显著的差异。

特征 独立 CA 企业 CA
典型用途 独立 CA 通常用于脱机 CA。 企业 CA 通常用于向用户、计算机和服务颁发证书。 无法将其用作脱机 CA。
AD DS 依赖关系 独立 CA 不依赖于 AD DS。 企业 CA 依赖 AD DS 作为其配置和注册数据库。 企业 CA 还使用 AD DS 来发布证书及其元数据。
证书请求方法 用户仅可通过手动过程或 Web 注册请求独立 CA 颁发证书。 用户可以通过手动注册、Web 注册、自动注册、代表注册和 Web 服务请求企业 CA 颁发证书
证书颁发方法 CA 管理员必须手动批准所有请求。 CA 可以根据 CA 管理员定义的自定义配置自动颁发或拒绝颁发证书。

在 AD DS 环境中部署单个 CA 时,企业根 CA 是最常见的选择。 如果在 AD DS 环境中部署包含从属 CA 的双层层次结构,则应考虑使用独立根 CA 作为根 CA。 这样便可以使其脱机,而不会对域用户和已加入域的设备的证书管理流程产生影响。

另一个考虑因素是操作系统安装类型。 桌面体验和服务器核心安装方案都支持 AD CS。 服务器核心可最大程度减少潜在恶意黑客攻击面和降低操作系统维护开销,这使它成为企业环境中的最佳 AD CS 选择。

此外,你应该记住,在计算机上部署任何类型的 CA 后,都不能更改计算机名、域名或计算机域成员身份。 因此,必须在部署之前配置这些设置。

另外,对于部署脱机独立根 CA,还需要考虑一些特定因素:

  • 在从根 CA 颁发从属证书之前,请确保提供至少一个可供所有客户端使用的证书吊销列表分发点 (CDP) 和 AIA 位置。 这是因为,默认情况下,独立根 CA 具有其自身所含的 CDP 和 AIA。 因此,当根 CA 离线时,吊销检查将因无法访问 CDP 和 AIA 位置而失败。 定义这些位置时,应将 CRL 和 AIA 信息手动复制到该位置。
  • 为根 CA 发布的 CRL 设置一个较长的有效期,例如一年。 这意味着你需要每年打开一次根 CA,以发布新的 CRL,然后将其复制到客户端可访问的位置。 如果没有这样做,则在根 CA 上的 CRL 过期后,所有证书的吊销检查也会失败。
  • 使用组策略,将根 CA 证书发布到所有服务器和客户端计算机上受信任的根 CA 存储。 必须手动执行此操作,因为独立 CA 无法像企业 CA 那样自动完成此操作。 此外,你还可以使用 certutil 命令行工具向 AD DS 发布根 CA 证书。

演示

下面的视频演示了如何执行以下操作:

  • 配置企业根 CA 的先决条件。
  • 部署企业根 CA。

此过程的主要步骤如下:

  1. 创建 AD DS 环境。 创建一个单域 AD DS 林。
  2. 配置企业根 CA 的先决条件。 安装所需的服务器角色和服务器角色服务。
  3. 部署企业根 CA。 配置企业根 CA 设置。

快速回顾

1.

以下哪项关于安装 AD CS 企业根 CA 的说法是正确的?