共用方式為


安全性

Windows 7 和 Windows Server 2008 R2 PKI 增強功能

John Morello

本文根據發行前版本的程式碼。 本文件的所有資訊都有變更。

簡介:

  • 伺服器彙總
  • 改善現有的案例
  • 軟體 + 服務
  • 增強式驗證

內容

伺服器彙總
改善現有的案例
軟體 + 服務
增強式驗證
向上換行

似乎就在昨天,我已撰寫的文章,標題為 < PKI Enhancements in Windows >。 該文件在 2007 年 8 月 TechNet Magazine,所執行的重點,隨附於 Windows Vista 和 Windows Server 2008 的創新功能的一些。 這些創新的功能,包含註冊 UI 的改良功能及 OCSP (線上憑證狀態通訊協定) 功能等。 這些增強功能會是重要] 與 [使用者也收到時, 您可能認為變更的是真正的增量的變更,從 IT 專業人員的觀點來看。 不過,Windows 7,將提供 PKI 增強功能,大幅改善部署和啟用時降低營運成本的功能強大的新案例的使用者的操作經驗。

改進的 Windows 7 和 Windows Server 2008 R2 著重 (如所示的大約四個核心區域 [圖 1 ):

伺服器彙總。 這可讓組織減少總的數目的憑證授權單位 (CA) 所需符合其商業目標。

改善現有的案例。 這個焦點為提供更完整的 SCEP (簡單憑證註冊通訊協定) 支援這類元素及包括一個最佳 Practices Analyzer (BPA)。

軟體 + 服務。 這是為了啟用自發的註冊的使用者] 和 [憑證 (不論網路界限和憑證提供者的裝置。

增強式驗證。 這個區域的重點改善智慧卡的經驗、.Windows 的生物測定 Framework,] 和 [等等的簡介。

fig1.gif

[圖 1 : 四個核心的 PKI 增強功能

在本文中,我從 IT 專業人員的觀點中探索的一些主要的變更,在這些區域。

伺服器彙總

其中一個主要的主題,在 IT 過去幾年已伺服器彙總。 簡單地說這是減少伺服器電腦環境的總數的覆蓋區仍然會議,或甚至展開您的業務目標時。 目前的全域經濟已節省成本的許多 IT 群組,最優先,而且伺服器彙總當然可以,一般的策略的一個元件。 雖然大部分的組織不執行有大型的絕對數目 CA,許多沒有超過僅需要根據憑證建立的輸送量。 也就是說許多的組織都有大幅 underutilized CA。

有這個 underutilization 的兩個主要的原因。 先,某些組織可能會需要個別的 CA 的法規或安全性原則的理由。 例如,有些客戶已經選擇從比發行憑證給內部使用者和電腦的完全獨立 CA,將憑證發行給外部對象。 在這些的情況下 virtualizing 超 V 上的 CA 可以不需要為不同的伺服器硬體 (雖然 CA 本身必須仍管理,甚至為一個 VM)。

第二個常見原因,是的自動註冊只具有內部樹系案例中已支援。 特別是,CA 只已經能夠相同樹系已加入的一部分的實體時,便會自動註冊憑證的實體。 即使在其中雙向樹系層級的信任存在的情況下已經需要使用自動註冊每個樹系的個別的 CA。

其中一個金鑰的新功能,在 Windows Server 2008 R2 中能夠執行自動註冊的跨樹系信任關係,建立可能會大幅減少總數目 CA 中需要的企業。 請考慮在一般的企業網路,有已經完成了一些彙總工作現在有四個樹系: 生產、 開發、 測試和邊緣。 之前 R2,如果您想要提供每個的樹系的自動註冊至少 4 發行 CA 很需要,即使在所有的樹系信任彼此。 R2,您可以減少總數目 CA 在至其中一個這種情況下,有一個在其中一個樹系的 CA 核發憑證給所有其他樹系中的實體。

對於更複雜的 multi-forest 設計的環境總減少在 CA 中可以會更明顯,並且提供進行升級的投資的立即傳回到 R2 中。

跨樹系註冊也容易在合併和購併,延伸 PKI,因為憑證可以啟動,一旦樹系信任會放入位置的佈建新取得資產。 和因為跨樹系註冊純粹的伺服器端變更註冊可以啟動而不進行用戶端電腦的任何變更,並運作與舊版的用戶端作業系統,例如 Windows XP。

那麼要如何執行跨樹系註冊工作嗎? 使用者,經驗是完全無接縫的。 與其他自動註冊案例使用者只取得憑證少許或不需要自己的一部分的互動。 一般使用者將可能永遠不會知道從哪個樹系都 CA 有],而且將不需要採取任何特殊的動作,以取得憑證。

IT 專業人員的基本的建置區塊都大部分相同與傳統的內部樹系的自動註冊。 主要的差異是 CA 現在能夠處理來自的外部樹系的要求,並受信任的 Active Directory 中擷取有關要求的中繼資料。

接收和正確處理來自受信任的樹系要求此能力,是金鑰的新功能,可讓這個案例中運作的 R2 中。 除了有一個 R2 CA] 和 [雙向的樹系信任,憑證範本必須擁有 CA 的樹系之間,對它將會註冊所有其他樹系中複寫。 Microsoft 將會提供 Windows PowerShell 指令碼來自動化此應該完成範本的每個變更之後的複寫。 在許多情況下中,,它會是最好有排定的工作自動執行這個指令碼。

有一些伺服器彙總可以協助其他較小功能。 其中一個是 CA 現在支援非永續性的要求,這些通常短本報的憑證要求,無法寫入 CA 的資料庫。 舉例來說,假設網路存取保護的健康情況登錄授權單位。 這些系統可能會發出數千個憑證每一天的幾個小時內才有效。 維護 CA 資料庫中的所有這些要求會將指小的值加入,但大幅會因此增加儲存需求。 這項設定可在 [CA] 或 [範本層級和使用 R2,這些要求可以加以設定無法寫入資料庫 (請參閱 [圖 2 )。

fig2.gif

[圖 2] 無法將資料庫中的憑證的選擇

為了讓伺服器整合更容易的其他功能會是伺服器核心支援。 與 R2,可以安裝在 CA 的角色,在伺服器核心,但沒有其他 AD CS (Active Directory 憑證服務) 角色的服務使用的伺服器核心。 在 [伺服器核心] 上的安裝時, 可以使用公用任一本機命令列程式,例如 certutil,或使用標準的 MMCs,從遠端系統管理 CA。 請注意是否硬體安全性模組 (HSM) 使用時,您應該確定 HSM 廠商所支援伺服器核心執行他們的整合元件。

改善現有的案例

Windows 7 和 R2 會包含一些增量改善現有功能。 第一個是變更的憑證範本的 SKU 區分。 在舊版 AD CS,Advanced (2 和 3 版) 的憑證範本,啟用自動註冊功能會需要 Enterprise Edition CA)。 在 Windows Server 2008 R2 中, Standard Edition CA 將會支援所有的範本版本。 R2 也引入了一些簡單憑證註冊的通訊協定支援的改進。 在 R2,SCEP 元件將會支援裝置的更新要求] 和 [密碼重複使用。

AD CS 在 R2 中新是資料的最佳作法 Analyzer (請參閱 [圖 3 )。 已建立 BPAs 提供簡單的方式來檢查對資料庫組態的最佳的作法,建立和維護 Microsoft 功能小組的系統管理員。 在 BPA 應該改善客戶經驗方便以確認已正確設定 CA,因此客戶支援服務會指出 AD CS 上呼叫的大部分支援的資料造成的不正確的組態。 分析器將會檢查為遺失 AIA (授權資訊存取) 或 OCSP 指標,接近到期日,憑證這類問題,並信任鏈結的問題。

fig3.gif

[圖 3 執行新的 Best Practices Analyzer

在目前版本,選擇用戶端驗證憑證可以是 Windows 的一般使用者很難。 多個憑證有效的驗證時 Windows 並不方便使用者,以判斷哪一個右一個指定的使用方式。 這會導致更多的服務支援電話量和增加的客戶的支援成本。 在 Windows 7,憑證選取介面已經大幅增強,讓它更更容易選擇特定案例的正確的憑證。 清單順序也已變更為協助使呈現最可能的憑證,預設選擇為給定案例的更聰明的決策。 最後,選取範圍 UI 現在區分智慧卡上的憑證以及儲存在檔案系統上,呈現選擇清單中, 最高的智慧卡憑證,因為它們可能使用。 差異說明在 [圖 4 ] 所示,螢幕擷取畫面。 請注意,改善篩選 (但不是 UI 變更),會讓 Internet Explorer 8 舊版作業系統上可用。

fig4.gif

[圖 4 A 更聰明的方式呈現的憑證

軟體 + 服務

在 Windows 7 設計過程中,小組會裝載會議,許多使用頂端 PKI 者若要集體研討哪些區域應該取得新的版本注意事項。 龐大的使用者數目,表示很太難管理憑證跨組織域的界限內例如兩個不同的公司的商務夥伴之間。 許多也說他們看到 PKI,做為的因為它會要求一特定的技術,有效地管理外包的理想目標。 Windows 7 和 Windows Server 2008 R2 將提供新的技術,滿足這兩個這些需求,讓它更容易提供憑證跨界限,並開啟新的主控的 PKI 解決方案的商業模型。 這項技術會是 HTTP 的註冊。

fig5.gif

[圖 5 : 新的 [註冊] 模型

HTTP 註冊會是傳統的 RPC / DCOM 通訊協定,用於在先前的版本 (請注意 RPC 方法仍然可以使用在 R2 中) 的自動註冊的取代。 不過,HTTP 註冊是不只是註冊通訊協定 — 它真的完全新方法提供端不論,它們位於,或將它們在受管理的電腦是否與彈性的驗證選項的實體的憑證。 這個新的模型會消除許多位於跨越組織界限的傳統的自動註冊,障礙,並提供協力廠商,以輕鬆地提供自動註冊的服務,而不需要用戶端上的其他軟體的架構。

HTTP 註冊實作兩個新的 HTTP 通訊協定。 第一個通訊協定稱為憑證註冊原則通訊協定,讓憑證範本可用的使用者透過 HTTPS 工作階段。 「 終端實體可以來自機器沒有信任關係的獨立樹系中] 和 [不,即使加入網域的電腦。 驗證會使用 Kerberos、 使用者名稱 / 密碼或憑證。 註冊原則通訊協定會允許使用者輪詢的範本,並決定何時要依據新的或更新的範本的憑證的要求。

憑證註冊服務通訊協定會是 WS-Trust 的延伸。 通訊協定用來取得憑證之後,範本資訊已決定。 它會支援具彈性的驗證方法,並為其傳輸使用 HTTPS。

在中顯示的範例 [圖 5 說明如何這個新註冊的模型的運作方式。

  • 在步驟 1,憑證範本是從 Active Directory 發佈到伺服器執行憑證註冊原則 Web 服務 (角色服務新 R2)。 系統管理員發行這些範本使用相同的 MMCs] 和 [,他們已經熟悉的其他工具。
  • 在步驟 2,用戶端已輪詢 Web 服務,透過 HTTPS,以判定針對註冊的可用範本的清單。 用戶端將學習透過群組原則、 指令碼或手動設定 Web 服務的 URL。 用戶端可以加入網域的系統 」、 「 在商務夥伴,系統或 「 使用者的主系統。
  • 在步驟 3,用戶端已判定哪些範本,他會想要註冊,並且傳送資料的要求至憑證註冊 Web 服務執行實際的註冊。
  • 在步驟 4 中,伺服器執行註冊的 Web 服務會傳送要求到 CA 進行處理。
  • 在步驟 5,CA 已查閱從 Active Directory (例如他的電子郵件位址或 DNS 名稱) 會包含在發行的憑證要求者的相關資料。
  • 在步驟 6,CA 會傳回,完成的憑證,以註冊的 Web 服務。
  • 在步驟 7,註冊 Web 服務會完成與用戶端透過 HTTPS 異動,和傳送已簽署的憑證。

彈性會是一的金鑰的設計原則,在這個新的服務,而且很重要的一點如何設計可以適用於符合不同組的案例。 因為註冊通訊協定 HTTPS 用戶端可以輕易地註冊憑證從任何包括公司防火牆後面或從家用的 ISP 連線而不需要 VPN。 因為所支援的三種不同的驗證方法,用戶端可以加入組織的內部網域 」、 「 外部組織的未受信任的網域或 「 任何網域在。 最後,因為,伺服器端元件會實作,為 Web 服務,他們可以從 CA 個別安裝,並且支援分段的環境。

除了註冊終端實體,例如使用者和桌上型電腦的憑證,典型案例,HTTP 註冊可也讓提供來自受信任的根 CA 憑證的機會。 案例,例如公開面對 Web 的伺服器及其他系統其中的憑證有隱含的信任很重要的使用者 S / MIME 憑證,無法從更自發的註冊的所有優點。 舉例來說,許多組織大量的 Web 伺服器持有憑證手動,使用伺服器名稱和儲存在 Microsoft Office Excel 活頁簿的到期日期的清單。 使用 HTTP 註冊,受信任的根 CA 可以提供的服務,在其中這些憑證直接以這些 Web 伺服器自動提供,釋放不需要以手動方式維護這些憑證系統管理員。 此軟體及服務的組合讓組織選擇部署模型,符合其需求最佳而不需要設計網路或組織的界限。

參考

bluebullet.gif Windows 生物測定 Framework (WBF) 的簡介
Microsoft.com/whdc/device/input/smartcard/WBFIntro.mspx
bluebullet.gif 關於個人識別碼驗證 (PIV) 聯邦員工的承包
csrc。 nist.gov/groups/SNS/piv/Index.html
bluebullet.gif Windows Server PKI 首頁
Microsoft.com/pki
bluebullet.gif Windows PKI 的部落格
blogs.technet.com/pki

增強式驗證

Windows 7 包含在第一個在方塊支援生物識別裝置與在 Windows 生物測定 Framework (WBF)。 一開始著重於消費者案例的指紋-基礎驗證,WBF 被為了讓生物科技辨識的更容易且更整合式使用者經驗。 一個整合的驅動程式模型會提供使用者帳戶控制 (UAC) 」 及 「 自發的裝置探索一致的使用者經驗的 Windows 登入 (本機和網域),支援的裝置類型。 企業,WBF 會提供停用架構的組織而言,選擇不使用生物科技辨識一個群組 policy–driven 方法。 企業也可以選擇允許應用程式中,但是不會為登入網域的生物科技辨識。 最後,增強型的裝置管理,可以防止裝置使用中的除了只防止安裝驅動程式。

除了生物科技辨識改善,Windows 7 也加強使用者] 和 [智慧卡案例的系統管理員經驗。 智慧卡現在會被視為 Windows update–based 驅動程式安裝的隨插即用裝置。 「 隨插即用 」 的偵測與安裝程序進行之前登入、 表示使用者需要使用智慧卡登入將能夠登入,即使在位置卡不是先前偵測到的情況下。 此外,安裝不需要系統管理員使其適合在最低權限環境的權限。

智慧卡的類別 mini-driver 現在包含 NIST SP 800-73-1 的支援,因此聯邦機構可以使用他們的 PIV (個人的識別身份驗證) 卡,而不必使用其他的中介軟體。 在 mini-driver 也會包含在新興 INCITS GICS (蝴蝶) 標準,提供 「 隨插即用 」 體驗的這些卡的支援。

Windows 7 也介紹了支援的生物識別為基礎的智慧卡解除鎖定,和包含新 API,以啟用安全性金鑰資料隱碼。 最後,Windows 7 會加入兩個 ECC] 憑證註冊和利用這些 ECC 憑證,登入的 Elliptic 曲線密碼編譯 (ECC) 智慧卡憑證的支援。

向上換行

Windows 7 和 Windows Server 2008 R2 包含一些最重要的新 PKI 技術因為 Windows 2000 引進的自動憑證要求。 這個新功能可 PKI 更容易及更有效率的管理,使用者提供更好的經驗。

Windows 7] 和 [Windows Server 2008 R2 都包含功能強大的新功能,讓執行 PKI 時大幅增強自動註冊函式更有效率。 跨樹系註冊可以大幅減少所組織的 CA 的總數,同時讓您更容易管理 PKI 作業合併、 購併和 divestitures 期間中。 新的 Best Practices Analyzer 方便系統管理員檢查之前中斷就會發生常見的組態問題。 例如 nonpersistent 要求的伺服器核心的支援功能讓它更容易量身訂做 CA 作業,以符合特定組織的需求。 並開啟新的方法,自動提供憑證在組織 」 和 「 網路界限的 HTTP 註冊。

使用者也將受益,讓它更容易在其日常工作中使用憑證的 Windows 7 PKI 功能。 改良的憑證選取介面容易使用者選擇正確的憑證,為指定的目的,並更快速地通過驗證。 智慧卡改良功能,例如隨插 Play–based 驅動程式安裝] 和 [卡標準的原生支援代表必須要花較少的時間取得卡在使用者系統上運作。 最後的生物科技辨識的原生支援將使用者和系統管理員,以提供更一致且無接縫經驗。

取出 Beta 版,如果您已經沒有,並讓我們知道您的想法透過意見反應) 工具或在我們的部落格 blogs.technet.com/pki.

John Morello 已與 Microsoft 自 2000。 他花在 Microsoft Consulting 的 Services,他專為安全性解決方案 Fortune 500 公司、 政府和世界 militaries 五個年份。 他目前是 Windows 伺服器群組中的主要的負責人程式管理員。 John 已撰寫許多文章 TechNet Magazine,他有提供數個 Microsoft Press 書籍,並將說出而他呈定期在 TechEd 和 IT 論壇的會議中。 您可以閱讀他的小組的部落格,在 blogs.technet.com/WinCAT.