Windows Server 2008白皮书(四)

在windows server 2008中，证书网上注册支持系统有许多改动，windows vista和windows server 2008中，以新的串行通讯端口注册控制代替了以往的activex ®注册控制。

自Windows 2000操作系统开始，证书网上注册已开始使用。它的目的是为没有加入到域或没有直接连接到网络上的组织更新用户和计算机证书时提供一个注册机制，同时也是为非微软操作系统的用户设计的。不是依靠自动注册机制的核证机关（CA），或使用证书申请向导，网上注册系统支持基于windows的CA，允许用户通过互联网或者企业内部网邀请并获得新用户，或者更新证书。

改变功能
在windows vista和windows server 2008中，以往的注册控制xenroll.dll已经被剔出，取而代之的是一个新的注册控制系统——certenroll.dll。虽然在网上注册过程基本上是一样的，这种变化提高的兼容性，那些安装较早版本的windows系统的用户或计算机上可以通过网络注册运行windows vista或windows 2008。

Windows Server  2008 CA将继续使用windows xp和windows server 2003的客户的网络注册。如果用户从windows xp ， windows server 2003或基于windows 2000的电脑，在网上登陆windows Server 2008的网上注册页，windows Server 2008将检测到，并使用xenroll.dll安装到本地客户。但是，客户端的以下行为会与以前版本的windows有所不同：

注册代理能力（也称为智能卡的注册站）被从Windows Server 2008剔出，因为windows vista本身具有注册代理能力。如果用户需要使用Windows Server 2008以另外一个客户的名义登陆，他们可以用电脑运行windows vista，作为注册站。此外，他们可以使用一个安装有网络注册系统的基于windows server 2003作为注册代理，通过Windows Server 2008 CA注册

•安装有 Internet Explorer version 6.x及更新的版本，或者Netscape 8.1 Browser的用户，可以直接通过网上报名页面提交证书请求。使用其他浏览器仍然可以用网上报名页面提交报名请，但他们必须预先提交通过网上报名页面产生pkcs的＃ 10要求。
•证书网上注册不能用于3.0版证书模板，其中介绍了在Windows Server 2008，以支持发行套件的b兼容的证书。
• Internet Explorer不能在本地计算机的安全背景下运行;因此，用户可以不再要求计算机证书使用网络报名。

网络设备注册
网络设备预订服务（NDES）是微软的执行简单证书注册协议（SCEP） ，并用被称为微软简单证书协议（SCEP） 。SCEP是公钥基础设施（PKI）通信协议，这使得它有可能在软件上运行的网络设备，例如路由器和交换机，不能用其他方式加以认证对网络报名x509证书，由认证组织（CA） 。微软SCEP（MSCEP）是SCEP的实施。

MSCEP作为因特网服务器应用编程接口（ISAPI ）滤波器对互联网信息服务（IIS）履行下列职能：

•为管理员生成并提供一次性的注册密码，
•以网络设备运行软件的身份接收和处理SCEP的注册要求
•从CA重新获得待处理请求

在windows server 2003 ， MSCEP是作为CA被安装在同一台计算机的windows server 2003的资源工具包插件。在Windows Server 2008中，MSCEP是操作系统的一部分，可安装在不同的电脑上。

利用NDES和SCEP，通过网络设备如路由器和交换机来加以认证，能提高安全系数。

用组策略管理证书
软件签名，被越来越多的软件开发商和应用开发商用来核实申请来源的可信度。然而，许多用户不理解或不注意他们安装的与注册有关的签名系统。随着对X.509更加广泛的应用，得到了更多的信任，很多组织需要有更多的选择来管理证书签名和验证。Windows Server 2008中的集团政策，使管理员能够根据组织安全需要的和管理证书的签名，在一个中心地点对所有域中的计算机进行管理。

例如，当某些中间核证机关（CA）证明证书过期和客户不能自动取出一个新的证书，管理员现在能够通过组策略来控制。另一个相关的情况是，当管理员希望确保用户不再安装应用已签订的未经批准的出版者证书。
这一特点适用于使用一个或多个基于windows的CA的公开密码匙基础设施（PKI）、用组策略来管理客户端计算机的组织。

在组策略用证书验证设置，允许：

•安全建筑师，以加强基于证书的信任
•安全管理员，以在环境中应用公匙管理功能

使用证书信任有关的组策略设置，需要认真规划，以确定组织中用户或者计算机的数量，以及证书赋予的管理能力。如果管理员联邦使用这些设置，经过明确和有效的培训，或许能够为用户提供更大的回旋余地，使用户明白证书的重要性，认证管理能力低下的风险，以及如何管理自己的证书。

证书相关的组策略设置
先前版本的视窗作业系统，厂商已设定为执行这种控制权证书验证。证书相关的组策略设置可以在组策略对象编辑器中找到，在计算机配置\窗户设置\安全设置\公共密钥政策内容下。以下选择，可根据管理的需要设定性能表：

•存储
•值得信赖的出版商
•网络检索
•撤销

此外，四个新的政策已被列入下公开密钥的政策，适用于不同类型的客户：

•中间核证机关
•值得信赖的出版商
•来路不明证书
•值得信赖的人

在Windows Server 2003种已经包含了这些这些新政策，以及Enterprise Trust和Trusted Root Certification  Authorities。这些政策可以用来完成以下任务：

•管理同行的信任和信赖的根证书
•管理可信出版商
•阻断不符政策要求的注册需求
•管理检索证书的相关数据
•管理到期证书撤消列表和在线证书状态协议（OCSP）的反应
•部署授权

管理同行的信任和信赖的根证书
利用路径验证设置对话框中的统计表，管理员可调节亲信根证书和同行的信任证书。这种控制的实施，使用户不得作出与同行不同的决定，或者它可以用来控制有多少或如何用特定证书，例如签名和加密，来管理同伴的信任。
统计表也使管理员能够指定域内的特定用户只是公司根CA可以信任的，或者是企业和非微软用户都可以信任的。另一方面，如果管理员需要在域内分发挑选可信任根证书，他们可以把它们拷贝到可信任的根证书，下次登陆时，系统会自动更新。

由于各种证书越来越多，而且作出是否承认或不承认这些证书的决定的越来越重要，有些组织可能希望管理证书信任和防止用户在域内配置自己的一套可信赖的根证书。

管理信任的发行者和阻止不受欢迎证书
在证书验证设置对话框中选择该项，可以使管理员确定哪些证书可以被当作可信任的出版商而接纳。全组织的亲信出版者的相信名单，使组织可以自行决定authenticode ®证书是否可以由用户和系统管理员来管理，或者只有系统管理员，或者只是企业经营管理人员。

管理员可以通过把组织的名字加入来路不明的注册申请的库中以阻止某些申请。正如网络管理员防止病毒和其他恶意软件进入它们的环境中一样，系统管理员在未来可能要封锁某个证书。组织自己的CA签发的证书是可以被撤销的，它还会被添加到证书撤销列表。然而组织外部所发出的证书不能被撤销，然而，这些来路不明的证书可以通过加入不被信任的证书申请的库中以加以禁止。下一次组策略是更新时，这些证书将被当作来路不明的证书复制到域内每个客户的计算机上。

证书部署变化
用户和计算机证书，可以通过自动报名，证书请求向导，网上报名等一些机制来部署。调派大量的电脑的证书有挑战性。在windows server 2003，可使用组策略核准机关证书和企业的信任证书。

在windows server 2008 ，以下所有类型的证书可以分别放置在组策略中适当的证书储存组：

•值得信赖的根系CA证书
•企业信用证书
•中间CA证书
•值得信赖的出版商证明书
•来路不明证书
•可信任的人（同行信托证书）

这为管理员提供了一种有效的手段来为组织内的用户和计算机在分发日益增长的各种证书。

在线证书状态协议支持
证书撤销是管理核发证书的一个必经的部分，。最常见的证书沟通手段，是由分发证书撤销列表（证书撤消列表） 。在某些情况下，使用常规证书撤消列表不是一个最佳的解决方案，Windows Server 2008支持的在线证书状态协议（OCSP）可用于管理和分发撤销状态信息。

OCSP的功能
在线证书状态协议的反应和使用证书撤消列表是两种较常见的传达证书有效性的方式。与证书撤消列表定期发送证书已被撤销或暂停的信息的方式不同，在线应答能够接收并响应客户对于某个证书的状态信息的请求。

在许多情况下，网上应答能处理证书状态请求比证书撤销列表更有效率。这些情况举例如下：

远程网络连接客户要么不需要，要么不能满足下载大型证书撤消列表的高速连接载去修。

•一个网络需要处理大量的高峰撤销检查活动，例如当大量用户登录或发送签名的电子邮件同时进行时。
•一个组织需要一个有效率的途径，从非微软的CA派发撤销证书的数据。
•一个组织需要检查特定撤销资料，而不需要知道所有被撤销或暂时吊销证书的信息。

Windows Server 2008中的OCSP支持包括以下内容。

•网络代理缓存：网上应答是网上应答网络代理缓存是服务接口的界面。起服务器（ISAP）和扩展互联网信息服务（ IIS）的作用 。
•支持实时和非实时要求：配置选项为实时和非实时要求，可以用来防止对ocsp反应的攻击。
• windows安装整合：网上应答，可使用windows服务器管理工具。
•先进的加密技术支持： ocsp反应可配置为使用椭圆曲线密码系统（ ecc ）和SHA-256加密操作。
•预ocsp证书范本：部署ocsp响应程序，简化了Windows Server 2008中用ocsp证书模板的程序。
• kerberos协议整合： ocsp的要求和反应，可用kerberos的认证密码，为临时验证服务。

微软网上应答，基于并遵守RFC 2560 。基于这个原因，证书的网上应答往往被称为ocsp应答。

OCSP提供的功能

两个新的重大成套功能，可以来自网上应答服务：

•在线应答：基本在线响应功能在ocsp服务已经安装了。
•反应阵列：多电脑相连主办网上应答和加工证书状态的要求。

网上应答是在一台计算机上运行的ocsp服务，装配有CA的计算机也可以设定为一个在线应答器，一个单一的网上反应可以提供撤销状态信息， CA撤销信息，可以支持一个以上的在线应答。

应用基于x.509的系统，如S/MIME、SSL、EFS以及智能卡时，无论是执行认证，标志，或加密业务都需要认证和激活证书，证书状态和吊销检查核实证明书的有效性是基于：

•时间：在证书签的一个固定的时间内认为是有效的，只要到期日，证书没有该日期之前被撤销。
•撤销现状：出于各种原因，如关键的妥协或中止，证书在到期日期吊销。
证书撤销清单载有被证书核证机关撤销的证书的序号，客户核对撤销地位证明书时，需要下载载有被CA撤销的证书的名单。

OSCP的组策略设置
添加了一些组策略设置以加强OCSP和 CRL数据管理，需要添加组策略设置。CRL的有效期与证书一致。如果发布更新之前或者更新可以得到之前，已经超过有效期，证书链的验证可能会失败，即使有在线响应器。这是因为在线响应器可能依靠来自一个过期的CRL的数据。在网络适时延迟发布和CRL接受的情况下，管理员可以使用这些组策略设置延长一个已有CRL或者OCSP响应的使用期限。

通过进入证书确认路径设置（电脑配置，窗口设置，安全设置和公共密钥政策）的撤消栏，可以延长ORL和OCSP响应的使用期限，并配置以下两种选项：

•允许延长所有CRL和OCSP响应的有效期限
•可以延长默认有效期限

在撤消栏有一个单独选项允许OCSP响应与CRL包含的信息重载。如果客户有一个CRL没有包含撤销状态，这项允许通过调用证书，添加他到当地CRL，仍证实是有效的。尽管不推荐选择该选项，但是一些情况还是有用的，如当地管理员做的撤消改变不是最终结果，直到CA（证书颁发组织）管理员确认改变。

v3的证书模板
在一种有管理的活动目录与企业认证授权环境下，证书模板提供一个可行的方式以进行证书登记。CA管理员可以为企业CA登记定义蓝图证书。从历史上看，静态V1证书模板与windows 2000一同引入。在windows服务器2003，V2证书模板与自定义一同引入。在Windows服务器2008，更多的证书模板和证书模板特性变得可行。在Windows服务器2008，新的证书模板类型称为v3的模板。

在windows服务器2008介绍了v3模板使用的最新加密算法。管理员也可以使用v3证书模板确保有关客户和CA通信的CA，在最安全的方式进行。Windows服务器2008还引入了一种完全新的默认模板，让客户使用kerberos认证来验证证书来源。

由于依赖底层操作系统，Windows服务器2008模板只能被分配给运行在Windows服务器2008上的CA。此外，仅有windows vista客户端计算机和Windows服务器2008计算机可以使用v3证书模板。

Windows服务器2008和windows vista的一个重要改变添加了下一代加密码方法（CNG）。CNG支持Suite-B算法，使得对加密和签署证书的交互和自定义加密算法成为可能。