證書註冊方式
在Windows2012中,我們可以使用多種方式爲用戶或計算機註冊證書,證書的註冊方式與所在的環境有關,例如,我們最希望通過自動註冊來批量的將證書部署給大量的用戶或計算機,然而在某種情況下,我們又需要通過手動註冊將證書部署到專門的安全性主體。
下面描述了這幾種方法的不同之處:
自動註冊。使用自動註冊,管理員需要爲證書模板定義權限和配置。這些定義幫助申請者去自動的申請,獲取和續簽證書,它不需要與終端用戶交互。此方法用於AD域的計算機,必須通過組策略來實現自動註冊證書。
手動註冊。手動註冊時設備會生成私鑰和一個證書請求,然後證書請求被傳遞到CA生成一個請求的證書,接着生成的證書會被傳回給設備並安裝,在申請者不能與CA直接聯繫或設備不支持自動註冊時可以使用這種方法來註冊證書。
CA Web註冊。我們可以啓用一個網站CA以便用戶能夠獲得證書,要使用CA Web註冊,我們必須在ADCS中安裝IIS和Web註冊角色。通過web註冊申請證書,申請者需要登入到網站,選擇合適的證書模板,然後提交申請,如果用戶有註冊證書的權限,那麼證書會自動的被頒發。Web註冊一般用在無法使用自動註冊頒發證書的時候。
註冊代理。要使用這種方式,CA管理員需要爲用戶建立一個註冊代理賬號,使用這個賬號用戶擁有註冊代理權限,可以代表其他的用戶來註冊證書。如果你需要一個管理者去爲新員工在智慧卡上預加載登入證書,那麼久可以使用這種方法。
自動註冊是如何工作的?
在AD域環境中部署證書最常用的方法就是自動註冊,它能夠自動的去將證書部署到用戶和計算機。我們可以在符合特定需求的環境中使用自動註冊,例如在AD域中可以通過證書模板和組策略來實現。但是有個很重要的地方需要注意,獨立CA是無法使用自動註冊的,我們必須有一個與AD集成的企業CA用於自動註冊。我們可以使用自動註冊去自動的將基於公鑰的證書部署給企業中的用戶和計算機,證書服務管理員複製證書模板,然後將該模板的註冊和自動註冊權限開放給需要獲取證書的用戶和計算機。基於域的組策略能夠激活和管理自動註冊。
在你重啓電腦或登入用戶的時候組策略會默認被應用,此外組策略在域成員上默認90分鐘刷新一次,我們的這個組策略設置被命名爲"證書服務客戶端自動註冊".
在上次自動註冊激活後的每隔8小時會定時觸發自動註冊任務,證書模板會根據每個請求與指定的用戶進行交互,例如有一個請求在用戶登入後會彈出一個60s的顯示窗口。
很多證書分發時不需要客戶端,即便已經知道註冊正在發生。大多數頒發給計算和服務的證書類型都包屬於這種情況,很多頒發給用戶的證書也在其中。
在域環境中爲客戶端自動註冊證書必須滿足以下幾點:
必須是Domain Admins或Enterprise Admins的成員或相同級別的權限,這是設定自動註冊的最基本要求
爲證書模板配置自動註冊權限
爲域配置一個自動註冊的策略
證書漫遊
證書漫遊能夠讓企業將證書和私鑰存儲在AD域中,它與應用程序狀態或配置信息是分開存儲的。無論用戶什麼時候登錄,證書漫遊會使用現有的登入和自動註冊機制將證書和祕鑰下載到本地計算機,如果有需要的話還可以在用戶登出時移除證書和祕鑰。此外在任何條件下這些證書都能保持自身的完整性,例如當證書更新或者用戶在同一時間登入多臺計算機的情況,這樣能夠避免用戶登入到每一臺新計算機時都會自動註冊證書。
任意時間一個私鑰或證書在用戶的本地證書存儲中變更時,證書漫遊都會被觸發,無論用戶什麼時候鎖定或解鎖計算機,以及組策略的刷新時間。
所有本地計算機組件之間和本地計算機與AD域之間證書相關的通信都是被簽名和加密的,Win7及更高版本的操作系統能夠支持證書漫遊功能。
註冊代理
在Windows2012CA中,它可以代表其他用戶去配置證書註冊,要實現這個,我們必須頒發一個特定的證書,這個證書是基於註冊代理模板生成的。當用戶獲取了這個基於註冊代理模板的證書時,他就能夠代表其他的用戶去註冊證書。與證書管理器不同的是,註冊代理只能處理註冊請求,它不能批准掛起的請求或吊銷已頒發的證書。
注意:註冊代理是一種高安全性風險的證書,擁有註冊代理證書的人可以冒充他人,因爲他可以代表其他用戶去頒發證書,所以你需要確保這個證書模板有良好的保護機制。
Windows2012包含了下面的三種證書模板,他們允許不同類型的註冊代理:
註冊代理。被用來代表其他對象去申請證書
註冊代理(計算機)。被用來代表其他計算機對象去申請證書
交換註冊代理(離線請求)。被用來代表其他對象申請證書,並提供請求中的對象名稱。NDES(網絡設備註冊服務)使用這個模板作爲它的註冊代理證書。
當你創建一個註冊代理時,你可以更進一步的改進代理的註冊能力,它可以通過羣組和證書模板代表其他用戶註冊證書。例如,我想部署一個受限的註冊代理,它只能夠註冊智慧卡的登入證書,並且只嗯呢該爲特定的辦公室成員或某個基於安全性羣組創建的OU。
在舊版的Windows CA中,是無法讓註冊代理僅爲某一個特定羣組中的用戶註冊的,它能實現的只會是每個用戶都有註冊代理證書,他們都可以代表企業中的其他用戶註冊證書。
Windows2008企業版操作系統引入了受限註冊代理功能。這個功能允許我們去限制用戶的權限,這個用戶是被指派爲註冊代理的用戶,他可以代表其他用戶或註冊智慧卡證書。
在企業中通常會有一個或多個個體被指派爲註冊代理。這些註冊代理需要被頒發註冊代理證書,讓他們能夠代表其他用戶去註冊證書。註冊代理一般是企業安全性羣組,IT安全性羣組,桌面組的成員,因爲這些個體都是掌控安全防護資源的對象。在一些企業中,例如有多個支行的銀行,桌面組和安全性管理者不方便本地的去執行這個任務,這種情況下,我們可以指派分部的經理或其他可信賴的僱員作爲註冊代理,讓他去代表各地的用戶申請智慧卡證書。
在Windows2012 CA,首先註冊代理功能允許一個註冊代理被用於一個或多個證書模板。在每個證書模板中,我們可以選擇註冊代理能夠代表註冊的用戶或安全性組。我們不能將註冊代理所代表的對象用特定域OU或容器來約束,只能使用安全性羣組來約束。
注意:使用受限註冊代理會影響到CA的性能,想要優化CA性能,我們需要最小化註冊代理的賬號數量,最小化註冊代理的證書模板ACL的賬號數量,推薦使用羣組賬號取代單獨的用戶賬號作爲他們的賬號。