首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > Windows 2008之PKI实战4:吊销 > 正文

Windows 2008之PKI实战4:吊销

出处:IT168 作者:风华正茂 时间:2008-9-3 0:56:14

(接上篇)在线吊销服务是Windows Server 2008中引入的一个新组件。是OCSP 协议的Microsoft 部署。该功能加上新的OCSP 应答服务,是一个大的提高与基于CRL的吊销相比。客户端的OCSP 客户端已经被重新设计架构,加上OCSP响应程序。此外,OCSP方法已经被集成到Kerberos和SSL中。

  新的OCSP响应程序以扩展性为目的而设计的,能够被部署证书服务器或完全分离的计算机上。该服务也能够被应用到多个群集计算机。该服务器端的组件足够灵活能够从多个源中获取吊销信息。该响应程序支持缓存NONCE和No-NONCE请求。

  配置OCSP和使用吊销的演示

  部署在线响应程序包含三个步骤:安装在线响应程序服务,准备环境和配置在线响应程序。部署在线响应程序应该在部署CA之后,在部署终端实体证书之前。我们安装OCSP在第一个演示的计算机上,因此我们将检查部署过程的剩余步骤。作为安装过程的一部分,一个名称为OCSP 的虚拟目录在IIS中被创建,用作Web Proxy的ISAPI扩展被注册。您能够手动注册或不注册Web Proxy。因为Web Proxy 注册发生在OCSP安装的时候,我们能够使用下面的命令来不注册它,如图29所示。

  Certutil -vocsproot delete

  我们能够使用Certutil -vocsproot命令来注册它。如图30所示。

  CA必须配置为包含响应程序的URL作为颁发证书的权威信息访问(AIA)扩展的一部分。该URL被OCSP客户端用来验证证书的状态。如图31所示。

  我们将选择AIA扩展然后增加一个用户能够从那里获得该CA的证书的位置。如图32所示。

  该位置可以是任何有效的URL或路径。它能够是一个HTTP、LDAP、文件地址、UNC或本地路径。我们将输入在线响应程序的完整URL。如图33所示。当安装在线响应程序的时候,IIS中使用的缺省虚拟目录是OCSP。我们将在在线证书状态协议(OCSP)扩展中包含这个位置。为了让该更改生效活动目录证书服务必须被重新启动。如图34所示。在线响应程序能够使用颁发的CA密钥或委派的签名密钥来签名OCSP的响应。委派的签名证书是:短期的,建议的有效期为两个星期。它包含了Id-pkix-ocsp-nocheck扩展,没有CRL分发点或AIA扩展,并且包含id-kp-OCSPSigning扩展密钥使用(EKU)。在 Windows Server 2003 和Windows Server 2008中,配置OCSP签名模板是不同的。在Windows Server 2008中,引入了版本号为3的模板。新的模板版本允许高级加密支持,除了其他的增强以外。同样在Windows Server 2008中,一个新的证书模板也被添加到活动目录中可用的模板中。该模板名称为OCSP Response Signing,它预配置有必须的扩展和前面列出的属性,它的版本号为3。对模板或CA来说,不需要做任何修改。

  证书模板的一个缺点是不能增加自定义的扩展。在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题,以及添加id-pkix-ocsp-nocheck扩展的能力。创建这个重复的模板将创建一个版本号为2的模板,它能够被Windows Server 2003 CA 颁发,并且它将仍包含id-pkix-ocsp-nocheck扩展。接下来,有必要配置CA来允许自定义扩展被包含在证书请求中。

  在我们修改CA注册信息后,我们需要重启CA服务。重启完成后,现在CA已经可以颁发OCSP签名证书了。如图35所示。

  如其他模板,Read、Enroll、AuthEnroll、 Write和 Full Control的注册权限必须被配置。

  我们将添加SEA-DC-01 计算机对象。

  为了允许在线响应程序计算机注册OCSP 应答签名证书,选中访问控制条目中的Read 和 Enroll选项。如图36所示。对于增加的安全,在线响应程序服务运行在Network Service下。这意味着在缺省情况下,它不能访问机器的私有密钥,需要通过修改才允许在线响应程序访问私有密钥。包含在版本号为3的模板中的一个新功能,允许注册客户端配置机器密钥的权限作为注册过程的一部分,来允许运行为Network Service的服务的访问。如图37所示。该功能只能在Windows Vista 和 Windows Server 2008中使用。版本号为3的模板包含一个新特性它允许注册客户端自动修改私有密钥权限来允许NETWORK SERVICE访问。一旦模板被正确配置,需要配置CA来颁发该模板。

  我们将在这个CA上启用OCSP Response Signing 模板。如图38所示。

  在线响应程序管理工具被设计为具有很高的易使用性。不管在线响应程序是部署在单个机器、群集还是多个群集中,管理工具为在线响应程序部署提供了单点监视和配置。在缺省情况下管理工具被安装在所有版本的Windows Server 2008上,它为管理在线响应程序提供所有必须的功能。

  在线响应程序主页节点提供了关于在线响应程序配置状态的最高级别的信息,并允许配置所有的响应程序的属性。

  吊销配置节点视图允许增加、修改和删除吊销配置。

  阵列配置节点视图允许增加、监视和诊断在线响应程序阵列成员。

  在线响应程序提供一套可配置的属性,它们是所有的在线响应程序和应用到在线响应程序的服务操作。

  在线响应程序Web Proxy缓存作为IIS加载的ISAPI扩展被部署。下面的配置设置被启用:Web Proxy threads。该设置指定在线响应程序ISAPI扩展为处理请求将分配的线程的数量。如图39所示。


  缓存条目被允许。该缓存作为响应程序的ISAPI扩展的一部分部署,它只是内存中的缓存。推荐的缓存大小介于1,000 和 10,000 。最小的缓存条目允许是5。对于任何小于5的数字,在线响应程序将把它看作默认的5。小的缓存值将引起更多的缓存故障,并将导致响应程序的查找和签名操作的高负载;大的缓存值将影响在线响应程序的内存使用。如果CA证书被用来签名响应,内存中缓存条目的大小大约是200字节;如果委派的签名者证书被用于签名响应,内存中缓存条目的大小大约是2K字节。

  为了遵守通用标准来加强证书颁发系统的安全性,同时提供一个安全的平台,某些特定的时间和配置设置被记录到Windows 安全事件日志中。在线响应程序允许配置下面的审计事件,如图40所示。

  " 启动/停止在线响应程序服务。每次启动/停止ocspsvc.exe服务的事件将被记录。

  " 对在线响应程序配置的更改。所有在线响应程序配置的更改,包括审计设置更改,将被记录在安全日志中。

  " 对在线响应程序安全设置的更改。对在线响应程序服务请求和管理接口ACL的所有更改将被记录在安全日志中。

  " 提交给在线响应程序的请求。所有被在线响应程序服务处理的请求将被记录在安全日志中。该选项在服务上创建了一个高负载,应该针对具体的环境做出评估。只有那些要求在线响应程序签名操作的请求将生成和审计事件;对于前面缓存响应的请求将不会被记录。

  在线响应程序的安全设置包括两个新的访问控制实例,它们能够被设置允许或拒绝用户和服务访问请求和管理接口、代理请求。如图41所示。在线响应程序暴露一个请求接口,它允许在线响应程序Web Proxy组件提交证书状态请求给在线响应程序服务。该接口不会被终端客户端使用。

  管理OCSP响应程序。在线响应程序暴露一个管理接口,它提供了执行管理任务的能力,象创建和管理吊销配置,以及修改响应程序的全局设置。吊销可以通过两种方法来完成,要么手动通过MMC要么通过OCSP响应程序服务。

  我们将从CA MMC 中吊销一张证书。在CA树下有一个已经颁发证书的文件夹。前面我们颁发的证书显示在该文件夹。我们现在能够手动吊销该证书。这将强制我们重新注册该证书。

  在吊销的时候我们将被询问吊销的原因。在该演示中,我们将持有该证书因此我们可以撤回吊销。如图42所示。如果一张证书使用其他的原因而非Hold被吊销的话,那么该证书的吊销不能被撤回。

  该证书已经被移动到吊销证书文件夹中。从吊销证书文件夹,我们能够撤回该证书的吊销。如图43所示。在证书被吊销的期间,客户端不能加密或解密发送给和来自它的信息。我们仍可以查看证书的信息,如果需要的话。我们将撤回该证书的吊销,将它返回到一个活动的状态。

相关文章 热门文章
  • 微软宣布已售出4亿份Windows 7许可
  • Powercfg 从命令行控制系统的电源管理
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • windows 7使用GPO统一桌面黑屏
  • Windows 2003域更名工具(Domain Rename Tool)
  • 创建Windows 7部署介质
  • 轻松传送——Windows Easy Transfer
  • 使用MDT 2010执行Windows 7裸机安装
  • Windows Server 2008 R2和Windows 7的组策略
  • 监视Windows 7中的系统启动性能
  • Windows 7十大快捷键
  • 使用Windows Server 2003的Netsh命令创建DHCP作用域
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号