简介

　　上一章介绍了依赖于公钥基础结构 （PKI） 的安全无线解决方案的逻辑设计。 本章定义基于 MicrosoftWindows2003 证书服务，为该解决方案设计 PKI 的流程。 为了降低部署和管理成本，该解决方案设计相对比较简单，非常适用于为安全无线客户端和无线局域网 （WLAN） 基础结构颁发证书。

　　虽然首要目的是设计支持安全 WLAN 的 PKI，但是要记住，PKI 也是组织的整体安全基础结构的重要组成部分 — 环境中的其他各种应用以后可能使用它。 为了保护您对此基础结构的投资，该解决方案设计可以扩展。 这意味着，虽然该设计可能不适用于颁发所有类型的证书，但是它允许您在将来添加其他功能和容量，以满足比此处讨论的更广泛的安全需求。

　　本章有三个主要目的。 第一个目的是讨论解决方案设计决策以及决策背后的理论依据。 第二个是提供一些背景规划信息，以帮助您确定这些决策是否适用于您的 PKI. 第三个是指出扩展基本解决方案的方法，以帮助您满足本解决方案的范围以外的安全需求。

　　本章中出现的“本解决方案采用……”或“本设计采用……”等语句，是指该解决方案的“构建”和“操作”各章中实施的解决方案设计的决策。

　　诸如“您应该决定……”的语句表示您必须根据自已的要求作决策。 这种情况多数出现在文中讨论如何扩展该解决方案以满足组织更广泛的安全需求的时候。 因此，有些主题进行了较详细的讨论，以便帮助您了解该步骤的含义，并且不必参考其他文档。

　　本章先决条件

　　应非常了解 PKI 的一般原则和术语。 如果对此技术比较陌生，应先阅读本章末尾“更多信息”一节参考的一些文章。

　　在继续本章之前，应熟悉 Microsoft Windows Server2003 部署工具包的“设计公钥基础结构”一章。 有关如何获取此信息的详细信息，请参阅本章末尾的“更多信息”一节。 本章沿用部署工具包中“设计公钥基础结构”一章的结构，便于您参考相关背景信息和此处包含的更详细的讨论。

　　“更多信息”一节还提供了一些链接，指向有关如何规划和设计 Windows Server 2003 PKI 的其他详细信息。

　　本章概述

　　规划和部署满足组织当前及将来需求的 PKI 并非轻而易举。 通常，PKI 不是为单个孤立的安全问题提供解决方案。 相反，组织会部署 PKI 来处理许多内部安全需求以及商业安全需求，以便与外部客户或商业伙伴合作。

　　下面的流程图展示了本章的结构。

　　图 4.1 规划证书服务的章节结构

　　这四个主要步骤是：

　　定义证书要求。 此步骤涉及定义要解决的安全问题。 这是由具体的应用和需要增强安全性的用户、这些用户所在的位置以及所需的增强安全性的程度决定的。 开始创建 PKI 之前，必须先定义安全和业务要求。

　　设计证书颁发机构的层次结构。 基于各种因素，您必须创建证书颁发机构 （CA） 的基础结构。 此步骤包括定义信任模型、确定需要多少 CA、如何管理这些 CA 以及如何通过引入其他 CA 或与其他组织建立信任关系来扩展 PKI. 此外，此步骤还讨论 PKI 如何与 IT 基础结构中的其他技术（如 Active Directory目录服务和 Microsoft Internet 信息服务 （IIS））集成。

　　配置证书配置文件。 此步骤包括决定使用的证书类型、与这些证书关联的密钥的强度、证书的有效期以及这些证书是否可以续订。

　　创建证书管理计划。 此步骤定义如何将证书颁发给最终用户、如何处理证书申请，以及如何管理和分发证书吊销列表 （CRL）。

　　定义证书需求

　　本节定义 PKI 颁发证书的用途，以及各个用途的安全要求。

　　创建证书实施声明

　　设计 PKI 时，应当记录有关如何在组织中颁发和使用证书的决定。 这些决定称为证书策略，记录这些决定的文档称为证书策略声明和证书实施声明。

　　正式地来讲，证书策略 （CP） 是一组指导 PKI 如何操作的规则。 例如，它记录证书对特定客户端组或对普通安全需求的应用的适用性。 证书实施声明 （CPS） 是组织用于管理它所颁发的证书的实施声明。 它描述在组织系统体系结构和操作程序环境中，如何解释组织的证书策略。 CP 是组织级的文档。 但是，CPS 是特定于 CA 的（尽管当 CA 执行相同作业时可能使用公用 CPS — 例如，因性能或复原原因将 CA 负载分发到多个服务器时）。

　　对于某些组织和证书用途，CP 和 CPS 被视为法律文档或法律免责声明。 撰写这些文档通常需要专业的法律意见，这超出了本文范畴。 不过，将哪一个文档作为 PKI 的构成部分并没有严格的要求。 如果没有特定的法律或商业原因，可以不必花费时间和资金来制订和维护正式的证书策略和实施声明。

　　尽管可能不需要正式的 CP 或 CPS，但仍应将证书策略和操作规范记录成文档。 证书策略应当成为您的组织的整体安全策略的一部分，操作规范应当成为安全管理过程的组成部分。 这可以称为非正式 CPS.

　　您应当根据 PKI 的预期用途确定是否要制订正式的策略声明和 CPS. 如果需要正式的 CPS，则很可能需要发布它，并在 CA 证书中加以引用。 虽然本解决方案中没有包括有关撰写正式的 CPS 的指导，但是第 7 章“实施公钥基础结构”中提供了如何发布 CPS 的说明。一般情况下不需要发布非正式 CPS.

　　在本章其余部分中，会经常提到在您的 CPS 中记录决定。 这些说明对于正式和非正式 CPS 同样适用。

　　本章末尾的“更多信息”一节提供了一些有关如何制订 CPS 的其他信息来源。

　　确定证书应用程序

　　PKI 设计过程中的第一步是确定要使用证书的应用程序的列表。 应该记录每项应用所需的证书类型，以及该应用需要的证书的大致数量。 在这一阶段，无需指定证书的任何细节信息，只需提供简短描述即可。

　　安全无线解决方案需要无线客户端和 Windows 远程身份验证拨入用户服务 （RADIUS） 服务器的证书。 Microsoft RADIUS 服务器是 Windows Server 的组件，称为 Internet 验证服务 （IAS）。

　　下表显示了所需的证书类型。 虽然本解决方案并不严格要求，但 PKI 还会向域控制器颁发证书（当在林中安装了 Windows 2003 Enterprise CA 时，这是默认值）。

　　表 4.1：安全无线解决方案的证书要求 应用程序 证书类型 证书数量 安全 WLAN 用户的客户端身份验证证书。 所有需要访问 WLAN 的用户。 计算机的客户端身份验证证书。 所有无线 LAN 计算机。 IAS 服务器的服务器身份验证证书。 所有 IAS 服务器。 Active Directory 域控制器身份验证。 林中的所有域控制器。

　　将来您可以扩展 PKI，以为下表所示的应用颁发证书。

　　表 4.2：未来可能的证书要求 应用程序 证书类型 证书数量 客户端访问虚拟专用网络 (VPN) 计算机客户端身份验证 (IPsec) 所有远程 VPN 客户端 分支到分支 VPN VPN 服务器身份验证 (IPsec) 所有 VPN 路由器 IP 安全性 (IPsec) 计算机客户端身份验证 所有要求 IPsec 的客户端和服务器计算机 Web 安全性 对访问 Intranet Web 应用程序的用户的身份验证。 所有用户 Intranet Web 服务器 安全 Intranet Web 服务器 加密文件系统 (EFS) EFS 用户 所有用户 EFS 数据恢复 恢复代理 安全电子邮件 安全/多用途 Internet 邮件扩展 (S/MIME) 签名和加密 所有电子邮件用户 密钥恢复 恢复代理 智能卡 智能卡登录 域用户 代码签名 内部代码和宏签名 代码发布管理员

　　定义证书客户端

　　对前一节中列出的应用，应该定义将使用证书的客户端。 这里，术语“客户端”是指任何使用 PKI 颁发的证书的人员、软件进程或者设备。 例如，客户端包括用户、服务器、工作站和网络设备。 为了解如何使用颁发的证书，您必须考虑两个主要客户端类别：证书使用者（或最终实体）和其他证书用户。

　　最终实体是指具有由 PKI 颁发的证书的客户端。 证书的“使用者”或“使用者备用名称”字段有一个或多个条目，将客户端（如主机名、电子邮件地址或目录可分辨名称）标识为该证书的所有者。 另一类证书用户是指可能需要验证最终实体的证书，或者要在目录中查找证书，但 PKI 并不向其颁发证书的客户端。

　　以下常见实例可帮助您进行区分：在安全网站上购物的 Internet 用户是该网站的安全套接字层 （SSL） 证书的用户。 但是，该网站是证书最终实体；其身份 — — 被编码到证书的“使用者”字段中。 只有证书使用者有权使用证书私钥 — 其他证书用户则不能。 注：证书使用者也几乎总是自已的证书和（通常情况）其他证书的证书用户。

　　注：“最终实体”是正确的技术术语，但本章的大多数地方都使用更友好的术语“证书使用者”。

　　对于证书使用者和证书用户，都应当通过回答下列问题来对各个客户端类型进行分类：

　　客户端是一个人，一台计算机或设备，还是一个软件进程？

　　证书将在什么平台（操作系统版本）上使用？

　　客户端的网络位置在哪里例如，它是连接到内部局域网、位于合作伙伴组织中，还是在 Internet 上？

　　该客户端是域成员吗如果是，是位于与 CA 不同的域中，还是在不同的林中是不受信任的域吗？

　　该客户端需要执行何种类型的操作例如，注册证书，使用证书签名，验证证书信任，在目录中查找证书，以及检查证书吊销状态。

　　这种分类将影响许多设计决策，例如如何颁发证书、对给定证书的信任级别，以及如何发布证书吊销信息。

　　对于本解决方案，下表对客户端类别作了详细说明。

　　表 4.3：证书使用者（最终实体）类别 证书 证书类型 平台 位置 域 证书操作

无线客户端身份验证

用户 Windows XP 内部网络 域成员 –注册–身份验证

无线客户端身份验证

计算机 Windows XP 内部网络 域成员 –