設計和實作 AD CS

  • 14 分鐘

確實以最佳方式設計內部 CA,是很重要的。 您的設計對於 PKI 環境的安全性和操作方面將有顯著的影響。

設計以 AD CS 為基礎的階層

在實作 AD CS 前,您必須先設計 CA 階層。 在設計過程中,您應該決定需要多少個 CA 層,以及每一層中的 CA 用途。 除非 CA 階層是在複雜、高度安全或分散式環境中,否則我們不建議建立深度超過三個層級的 CA 階層。 最常見的情況是,CA 階層有兩個層級,其中的根 CA 位於最上層,而次級則是在第二層發行 CA。 通常您會使用根 CA 來建立 CA 階層。 在這種情況下,當您依賴次級 CA 來發行和管理憑證時,根 CA 會維持離線狀態。

注意

多層級 CA 階層並非強制性。 針對較小、較不復雜的環境,您只能實作根 CA。 在這種情況下,根 CA 也提供憑證發行和管理功能。

更複雜的 CA 設計包括:

  • 具有原則 CA 的 CA 階層。 原則 CA 是位於根 CA 正下方和其他階層 (CA 階層中的次級 CA) 上方的次級 CA。 您可以使用原則 CA 將 CA 憑證發行至其次級 CA。 CA 憑證會反映組織為了保護其 PKI 而實作的原則和程序、驗證憑證持有者身分識別的程序,以及強制執行管理憑證程序的程序。 原則 CA 只會將憑證發行給其他 CA。 接收這些憑證的 CA 必須遵守並強制執行原則 CA 所定義的原則。 除非組織的不同部門或位置需要不同的發行原則和程序,否則不一定要使用原則 CA。 例如,組織可以針對其在內部向員工發行的所有憑證,或針對其發行給承包商的所有憑證,實作一個原則 CA。
  • 具有交叉憑證信任的 CA 階層。 在此案例中,當某個階層中的 CA 將交叉憑證 CA 憑證發行給另一個階層中的 CA 時,會相互操作兩個獨立的 CA 階層。 當您這樣做時,您會在不同的 CA 階層之間建立相互信任。

各種 CA 階層選項,包括原則 CA 使用方式、兩層式階層,以及跨憑證信任。

獨立與企業 CA

使用 AD CS 時,您可以部署兩種類型的 CA:獨立和企業。 這些類型的 CA 並不是關於階層,而是與 AD DS 的功能和整合有關。 獨立 CA 不相依於 AD DS。 企業 CA 需要 AD DS,才能提供額外的功能,例如自動註冊。 自動註冊可讓網域使用者和已加入網域的裝置在您透過群組原則啟用自動憑證註冊之後,自動註冊憑證。

下表詳細說明獨立和企業 CA 之間的最大差異。

特性

獨立 CA

企業 CA

一般使用方式

您通常會針對離線 CA 使用獨立 CA。

您通常會使用企業 CA 將憑證發行給使用者、電腦和服務。 您無法將其用來作為離線 CA。

AD DS 相依性

獨立 CA 不相依於 AD DS。

企業 CA 依賴 AD DS 作為其設定和註冊資料庫。 企業 CA 也會使用 AD DS 來發佈憑證和其中繼資料。

憑證要求方法

使用者只能使用手動程序或網頁註冊,從獨立 CA 要求憑證。

使用者可以使用手動註冊、網頁註冊、自動註冊、代表註冊,以及 Web 服務,從企業 CA 要求憑證

憑證發行方法

CA 系統管理員必須手動核准所有要求。

CA 可以根據 CA 系統管理員定義的自訂設定,自動發行憑證或拒絕憑證發行。

在 AD DS 環境中部署單一 CA 時,企業根 CA 是最常見的選擇。 如果您在 AD DS 環境中部署具有次級 CA 的兩層式階層,則應該考量使用獨立根目錄 CA 作為根 CA。 這可讓您使其離線,而不會影響管理網域使用者和已加入網域裝置憑證的程序。

另一個考量是作業系統安裝類型。 桌面體驗和伺服器核心安裝案例都支援 AD CS。 伺服器核心可將潛在惡意駭客介面和作業系統維護的額外負荷降到最低,使其成為企業環境中 AD CS 的最佳選擇。

此外,您也應該記住,在該電腦上部署任何類型的 CA 之後,您就無法變更電腦名稱、網域名稱或電腦網域成員資格。 因此,在部署之前設定這些設定很重要。

另外還有一些針對離線、獨立根 CA 部署的特定考量:

  • 從根 CA 發行次級憑證之前,請確定您至少提供一個憑證撤銷清單發佈點 (CDP) 和 AIA 位置,可供所有用戶端使用。 這是因為在預設情況下,獨立根 CA 本身會有 CDP 和 AIA。 因此,當您讓根 CA 從網路離線時,撤銷檢查將會失敗,因為無法存取 CDP 和 AIA 位置。 當您定義這些位置時,您應該將 CRL 和 AIA 資訊手動複製到該位置。
  • 將根 CA 發佈的 CRL 有效期間設定為很長一段時間,例如一年。 這表示您必須每年開啟根 CA 一次,以發佈新的 CRL,然後您必須將其複製到可供用戶端使用的位置。 如果您無法這麼做,則在根 CA 上的 CRL 過期之後,所有憑證的撤銷檢查也會失敗。
  • 使用群組原則將根 CA 憑證發佈至所有伺服器和用戶端電腦上的信任根 CA 存放區。 您必須手動進行此動作,因為獨立 CA 不同於企業 CA,無法自動進行。 您也可以使用 certutil 命令列工具,將根 CA 憑證發佈至 AD DS。

示範

下列影片示範如何:

  • 設定企業根 CA 的必要條件。
  • 部署企業根 CA。

此程序的主要步驟如下:

  1. 建立 AD DS 環境。 建立單一網域 AD DS 樹系。
  2. 設定企業根 CA 的必要條件。 安裝必要的伺服器角色和伺服器角色服務。
  3. 部署企業根 CA。 設定企業根 CA 設定。

檢定您的知識

1.

下列哪些關於安裝 AD CS 企業根 CA 的陳述是正確的?