什麼是憑證授權單位單位角色服務?
本文提供在 Windows Server 作業系統上部署時 Active Directory 憑證服務的憑證授權單位單位角色服務資訊。
憑證授權單位 (CA) 負責證明使用者、電腦及組織的身分識別。 CA 會驗證實體,並簽發數位簽署憑證為該身分識別提供擔保。 CA 也可以管理、撤銷,以及更新憑證。
憑證授權單位單位可以是:
- 為使用者的身分識別提供擔保的組織。
- 組織用來簽發及管理憑證的伺服器。
透過安裝 Active Directory 憑證服務 (AD CS) 的憑證授權單位角色服務,您就可以設定 Windows 伺服器做為 CA。
了解憑證授權單位單位類型
Windows Server 支援四種不同類型的 CA:
- 企業根 CA。
- 企業次級 CA。
- 獨立根目錄 CA。
- 獨立次級 CA。
企業和獨立憑證授權單位單位
企業 CA 已經與 Active Directory 網域服務 (AD DS) 整合。 它們會發佈憑證與憑證撤銷清單 (CRL) 到 AD DS。 企業 CA 會使用儲存在 AD DS 中的資訊 (包括使用者帳戶和安全性群組),來核准或拒絕憑證要求。 企業 CA 會使用憑證範本。 在簽發憑證時,企業 CA 會使用憑證範本中的資訊來為該憑證類型產生具備適當屬性的憑證。
如果您想要啟用自動憑證核准和自動使用者憑證註冊,請使用企業 CA 簽發憑證。 只有在 CA 基礎結構與 Active Directory 整合時,才可使用這些功能。 此外,僅企業 CA 可以簽發具備智慧卡登入功能的憑證,因為此程序需要智慧卡憑證自動對應到 Active Directory 中的使用者帳戶。
獨立 CA 不需要 AD DS,而且不會使用憑證範本。 如果您是使用獨立 CA,就必須在憑證要求中包含要求之憑證類型的所有相關資訊。 根據預設,提交給獨立 CA 的所有憑證要求都會保留在擱置佇列中,直到 CA 系統管理員核准它們為止。 您可以將獨立 CA 設定為在要求時自動發行憑證,但較不安全,不建議這麼做,因為要求未通過驗證。
當您使用非 Microsoft 目錄服務或無法使用 AD DS 時,您必須使用獨立 CA 來發行憑證。 您可以在組織中同時使用企業和獨立憑證授權單位單位。
根憑證授權單位和次級憑證授權單位單位
企業和獨立 CA 可以設定為根 CA 或次級 CA。 次級 CA 可以進一步設定為中繼 CA (也稱為原則 CA) 或發行 CA
根 CA 是位於憑證階層頂端的 CA,其中所有憑證鏈結都會終止。 當用戶端上存在根 CA 憑證時,根 CA 會無條件地受到信任。 無論您是使用企業或獨立 CA,您都需要指定根 CA。
由於根 CA 是認證階層中的頂端 CA,因此憑證的 [主體] 欄位與 [簽發者] 欄位的值相同。 同樣地,因為憑證鏈結會在到達自我簽署的 CA 時終止,因此所有自我簽署 CA 都是根 CA。 可以在企業層級決定,或由個別的 IT 系統管理員在本機決定,將某個 CA 指定為信任的根 CA。
根 CA 可做為您的憑證授權單位信任模型所依據的基礎。 它可以保證主體的公開金鑰會與它所發行之憑證的主體欄位中顯示的身分識別資訊相對應。 不同的 CA 也可能透過使用不同的標準來驗證此關係,因此必須在選擇信任由該授權單位驗證公開金鑰之前,先了解根憑證授權單位的原則與程序。
根 CA 是您的階層中最重要的 CA。 如果您的根 CA 遭到洩露,階層中的所有 CA 和從中簽發的所有憑證都會被視為已洩露。 您可以讓根 CA 維持與網路中斷連線,以及使用次級 CA 來簽發憑證給其他次級 CA 或使用者,以確保根 CA 的最高安全性。 已中斷連線的根 CA 也稱為離線根 CA。
不是根 CA 的 CA 皆視為次級 CA。 階層中第一個次級 CA 會從根 CA 取得其 CA 憑證。 此第一個次級 CA 可以使用此金鑰來簽發驗證另一個次級 CA 完整性的憑證。 這些較高階層的次級 CA 稱為中繼 CA。 中繼 CA 是屬於根 CA 的次級 CA,但它可以做為一或多個次級 CA 的較高階層憑證授權單位。
中繼 CA 經常被稱為原則 CA,因為它通常用來區隔可以透過原則區分之憑證的類別。 例如,原則區隔包含 CA 所提供的保證層級或 CA 的地理位置,以區分不同的終端實體母體。 原則 CA 可以在線上或離線。
憑證授權單位單位私密金鑰
私密金鑰是 CA 身分識別的一部分,因此必須受到保護以避免洩露。 許多組織使用硬體安全模組 (HSM) 來保護 CA 私密金鑰。 如果未使用 HSM,私密金鑰則會儲存在 CA 電腦上。
離線 CA 應該儲存在安全位置,且不連線到網路。 發行 CA 會在簽發憑證時使用其私密金鑰,因此在 CA 運作時,私密金鑰必須能夠被 CA 存取 (線上)。 在所有情況下,CA 和 CA 上的私密金鑰都應該受到實體保護。
硬體安全性模組
使用硬體安全性模組 (HSM) 可以增強 CA 和私密金鑰基礎結構 (PKI) 的安全性。
HSM 是由作業系統個別管理的專用硬體裝置。 HSM 除了專用的密碼編譯處理器之外,還提供 CA 金鑰的安全硬體存放區,以加速簽署和加密作業。 作業系統會透過 CryptoAPI 介面使用 HSM,且 HSM 會以密碼編譯服務提供者 (CSP) 裝置的方式運作。
HSM 通常是 PCI 介面卡,但它們也可以是網路設備、序列裝置,以及 USB 裝置。 如果組織計劃實作兩個或多個 CA,您可以安裝一個以網路為基礎的 HSM,並由多個 CA 共用。
您必須先安裝並設定 HSM,才能使用必須儲存在 HSM 上的金鑰來設定任何 CA。