Windows 2008之PKI实战4:吊销

出处：IT168 作者：风华正茂时间：2008-9-3 0:56:14

（接上篇）在线吊销服务是Windows Server 2008中引入的一个新组件。是OCSP 协议的Microsoft 部署。该功能加上新的OCSP 应答服务，是一个大的提高与基于CRL的吊销相比。客户端的OCSP 客户端已经被重新设计架构，加上OCSP响应程序。此外，OCSP方法已经被集成到Kerberos和SSL中。

　　新的OCSP响应程序以扩展性为目的而设计的，能够被部署证书服务器或完全分离的计算机上。该服务也能够被应用到多个群集计算机。该服务器端的组件足够灵活能够从多个源中获取吊销信息。该响应程序支持缓存NONCE和No-NONCE请求。

　　配置OCSP和使用吊销的演示

　　部署在线响应程序包含三个步骤：安装在线响应程序服务，准备环境和配置在线响应程序。部署在线响应程序应该在部署CA之后，在部署终端实体证书之前。我们安装OCSP在第一个演示的计算机上，因此我们将检查部署过程的剩余步骤。作为安装过程的一部分，一个名称为OCSP 的虚拟目录在IIS中被创建，用作Web Proxy的ISAPI扩展被注册。您能够手动注册或不注册Web Proxy。因为Web Proxy 注册发生在OCSP安装的时候，我们能够使用下面的命令来不注册它，如图29所示。

　　Certutil -vocsproot delete

　　我们能够使用Certutil -vocsproot命令来注册它。如图30所示。

　　CA必须配置为包含响应程序的URL作为颁发证书的权威信息访问（AIA）扩展的一部分。该URL被OCSP客户端用来验证证书的状态。如图31所示。

　　我们将选择AIA扩展然后增加一个用户能够从那里获得该CA的证书的位置。如图32所示。

　　该位置可以是任何有效的URL或路径。它能够是一个HTTP、LDAP、文件地址、UNC或本地路径。我们将输入在线响应程序的完整URL。如图33所示。当安装在线响应程序的时候，IIS中使用的缺省虚拟目录是OCSP。我们将在在线证书状态协议（OCSP）扩展中包含这个位置。为了让该更改生效活动目录证书服务必须被重新启动。如图34所示。在线响应程序能够使用颁发的CA密钥或委派的签名密钥来签名OCSP的响应。委派的签名证书是：短期的，建议的有效期为两个星期。它包含了Id-pkix-ocsp-nocheck扩展，没有CRL分发点或AIA扩展，并且包含id-kp-OCSPSigning扩展密钥使用（EKU）。在 Windows Server 2003 和Windows Server 2008中，配置OCSP签名模板是不同的。在Windows Server 2008中，引入了版本号为3的模板。新的模板版本允许高级加密支持，除了其他的增强以外。同样在Windows Server 2008中，一个新的证书模板也被添加到活动目录中可用的模板中。该模板名称为OCSP Response Signing，它预配置有必须的扩展和前面列出的属性，它的版本号为3。对模板或CA来说，不需要做任何修改。

　　证书模板的一个缺点是不能增加自定义的扩展。在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题，以及添加id-pkix-ocsp-nocheck扩展的能力。创建这个重复的模板将创建一个版本号为2的模板，它能够被Windows Server 2003 CA 颁发，并且它将仍包含id-pkix-ocsp-nocheck扩展。接下来，有必要配置CA来允许自定义扩展被包含在证书请求中。

　　在我们修改CA注册信息后，我们需要重启CA服务。重启完成后，现在CA已经可以颁发OCSP签名证书了。如图35所示。

　　如其他模板，Read、Enroll、AuthEnroll、 Write和 Full Control的注册权限必须被配置。

　　我们将添加SEA-DC-01 计算机对象。

　　为了允许在线响应程序计算机注册OCSP 应答签名证书，选中访问控制条目中的Read 和 Enroll选项。如图36所示。对于增加的安全，在线响应程序服务运行在Network Service下。这意味着在缺省情况下，它不能访问机器的私有密钥，需要通过修改才允许在线响应程序访问私有密钥。包含在版本号为3的模板中的一个新功能，允许注册客户端配置机器密钥的权限作为注册过程的一部分，来允许运行为Network Service的服务的访问。如图37所示。该功能只能在Windows Vista 和 Windows Server 2008中使用。版本号为3的模板包含一个新特性它允许注册客户端自动修改私有密钥权限来允许NETWORK SERVICE访问。一旦模板被正确配置，需要配置CA来颁发该模板。

　　我们将在这个CA上启用OCSP Response Signing 模板。如图38所示。

　　在线响应程序管理工具被设计为具有很高的易使用性。不管在线响应程序是部署在单个机器、群集还是多个群集中，管理工具为在线响应程序部署提供了单点监视和配置。在缺省情况下管理工具被安装在所有版本的Windows Server 2008上，它为管理在线响应程序提供所有必须的功能。

　　在线响应程序主页节点提供了关于在线响应程序配置状态的最高级别的信息，并允许配置所有的响应程序的属性。

　　吊销配置节点视图允许增加、修改和删除吊销配置。

　　阵列配置节点视图允许增加、监视和诊断在线响应程序阵列成员。

　　在线响应程序提供一套可配置的属性，它们是所有的在线响应程序和应用到在线响应程序的服务操作。

　　在线响应程序Web Proxy缓存作为IIS加载的ISAPI扩展被部署。下面的配置设置被启用：Web Proxy threads。该设置指定在线响应程序ISAPI扩展为处理请求将分配的线程的数量。如图39所示。

　　缓存条目被允许。该缓存作为响应程序的ISAPI扩展的一部分部署，它只是内存中的缓存。推荐的缓存大小介于1,000 和 10,000 。最小的缓存条目允许是5。对于任何小于5的数字，在线响应程序将把它看作默认的5。小的缓存值将引起更多的缓存故障，并将导致响应程序的查找和签名操作的高负载；大的缓存值将影响在线响应程序的内存使用。如果CA证书被用来签名响应，内存中缓存条目的大小大约是200字节；如果委派的签名者证书被用于签名响应，内存中缓存条目的大小大约是2K字节。

　　为了遵守通用标准来加强证书颁发系统的安全性，同时提供一个安全的平台，某些特定的时间和配置设置被记录到Windows 安全事件日志中。在线响应程序允许配置下面的审计事件，如图40所示。

　　" 启动/停止在线响应程序服务。每次启动/停止ocspsvc.exe服务的事件将被记录。

　　" 对在线响应程序配置的更改。所有在线响应程序配置的更改，包括审计设置更改，将被记录在安全日志中。

　　" 对在线响应程序安全设置的更改。对在线响应程序服务请求和管理接口ACL的所有更改将被记录在安全日志中。

　　" 提交给在线响应程序的请求。所有被在线响应程序服务处理的请求将被记录在安全日志中。该选项在服务上创建了一个高负载，应该针对具体的环境做出评估。只有那些要求在线响应程序签名操作的请求将生成和审计事件；对于前面缓存响应的请求将不会被记录。

　　在线响应程序的安全设置包括两个新的访问控制实例，它们能够被设置允许或拒绝用户和服务访问请求和管理接口、代理请求。如图41所示。在线响应程序暴露一个请求接口，它允许在线响应程序Web Proxy组件提交证书状态请求给在线响应程序服务。该接口不会被终端客户端使用。

　　管理OCSP响应程序。在线响应程序暴露一个管理接口，它提供了执行管理任务的能力，象创建和管理吊销配置，以及修改响应程序的全局设置。吊销可以通过两种方法来完成，要么手动通过MMC要么通过OCSP响应程序服务。

　　我们将从CA MMC 中吊销一张证书。在CA树下有一个已经颁发证书的文件夹。前面我们颁发的证书显示在该文件夹。我们现在能够手动吊销该证书。这将强制我们重新注册该证书。

　　在吊销的时候我们将被询问吊销的原因。在该演示中，我们将持有该证书因此我们可以撤回吊销。如图42所示。如果一张证书使用其他的原因而非Hold被吊销的话，那么该证书的吊销不能被撤回。

　　该证书已经被移动到吊销证书文件夹中。从吊销证书文件夹，我们能够撤回该证书的吊销。如图43所示。在证书被吊销的期间，客户端不能加密或解密发送给和来自它的信息。我们仍可以查看证书的信息，如果需要的话。我们将撤回该证书的吊销，将它返回到一个活动的状态。

操作系统

Windows 2008之PKI实战4:吊销