Windows Server 2008 中进行了大量升级,通过以高可用性方式使证书颁发机构 (CA) 服务更容易设置、监视和运行,改进了该服务的可管理性。CA 设置与角色管理器工具集成,并提供了安装 CA 服务的简单方法。为过程中的每个步骤都定义了默认设置,现在设置可以在无人参与模式下执行。最后,设置拥有了更好的诊断功能,使其更容易对可能出现的故障或问题进行故障排除。
Windows Server 2008 中大大增强了对 CA 服务的监视(在 Windows Vista 中拥有全面的证书诊断)。除了跨整个产品的更加灵活的事件记录基础结构外,现在 CA 服务自身还拥有一个内置监视控制台并与 Systems Center Operations Manager 2007(以前称为 MOM)相关联以提供企业级警报。企业 PKI 监视控制台是对 Windows Server 2003 AdminPak 中引入的其前身的改进。新的控制台包含在产品本身中,除了监视指定林中的所有 CA 外,现在还可以监视联机证书状态协议 (OCSP) URI。
Operations Manager 管理包为组织的 PKI 提供了一种被动监控功能,其中包括基于阈值的内置警报。例如,管理包可用于监视证书吊销列表 (CRL) 的刷新情况,当 CRL 达到过期日期前的特定天数或小时数时,则向 PKI 管理员发出警告。最后,还提供了许多新的性能计数器,帮助进行故障排除和监视 CA 服务本身的整体性能。这些计数器可用于捕获数据,如每秒颁发多少证书。
在 Windows Server 2008 中初次亮相的新功能:支持 CA 服务硬件级别的群集。此群集支持采用标准 Microsoft 群集服务 (MSCS) 技术并支持两节点的主动/被动配置。群集支持使您能够以高可用性方式运行颁发基础结构,可用于地理位置各异的群集部署。如果您选择应用群集支持,请注意,单是使 CA 群集化并不会导致整个 PKI 都可用。尽管群集可以帮助确保 CA 自身可用,但正常运行的 PKI 很可能包含未直接在 CA 上运行的其他组件。例如,CRL 分发点 (CDP) 和 OCSP 响应程序都必须以高可用性方式运行以确保可以执行吊销。此外,当采用硬件安全模块 (HSM),尤其是基于网络的 HSM 时,它们都在 PKI 中显示潜在的故障点。群集是一个强大的新增功能,用于为证书颁发机构本身提供高可用性,但它不是使整个 PKI 部署可用的万能药。
吊销
长期以来,CRL 一直用于提供对证书的有效性检查。这些 CRL 包括有效期尚未过期但不再受信任的所有证书的序列号。例如,如果某个员工的证书的过期日期为 12/31/2008,但该员工在 9/1/2007 离开了该组织,则其证书的序列号将被添加到 CRL 中。然后,该 CRL 将可用于多个 CRL 分发点 (CDP),如 HTTP 和轻型目录访问协议 (LDAP) 路径。
尽管被广泛使用,但 CRL 仍存在一些关键的不足之处。首先,CRL 由 CA 定期发布(通常每天一次或两次)。然后,客户端下载这些 CRL 并将其缓存直到下一个发布间隔。在此缓存期内,证书可能被吊销,而客户端可能不了解最新的状态。其次,在大型组织中,CRL 的大小可能会增长到非常大(有时会超过 100MB)。在大型、广为分散的网络范围内分发这些文件会非常困难甚至无法分发,在分支机构方案或其他有限带宽环境中尤为如此。
为解决这些问题,RFC 2560 中创建并定义了 OCSP。OCSP 提供了验证证书状态的实时方法。OCSP 客户端在需要检查叶证书有效性的计算机上运行。然后,该客户端软件引用 OCSP 响应程序并发送一条消息询问叶证书的有效性状态。该响应程序会检查证书的有效性,并实时向客户端做出响应。此方法避免了缓存和分发问题。
OCSP 客户端功能首次包括在了 Windows Vista 中(以前需要使用第三方软件)并可通过组策略进行配置。默认情况下,Windows 将尝试使用 OCSP,但如果响应程序不可用,将回退到标准 CRL 查询。
在 Windows Server 2008 中,提供了 OCSP 响应程序来回应这些要求。该响应程序通过角色管理器安装并可由 Operations Manager 2007 管理包监视。由于客户端和响应程序都符合 OCSP 标准,所以可以轻松地将它们集成到采用类似于基于标准的第三方组件的现有 OCSP 环境中。例如,完全支持让 Windows Vista 客户端根据第三方响应程序检查证书状态,以及让 Windows Server 2008 响应程序来响应来自第三方客户端应用程序的查询。此外,Windows OCSP 响应程序还可以应答由任何符合标准的 CA 颁发的证书的请求。不要求使用 Windows Server 2008 CA(和通常所说的基于 Windows 的 CA)。
总结
Windows Vista 和 Windows Server 2008 中的 PKI 平台包括许多增强功能和若干新增功能,这些功能可使部署和操作 PKI 更安全,成本更低。新的 CNG API 为开发人员提供了更轻松的编程环境,并支持新的加密标准。注册改进使组织可以更轻松地大量置备证书并在整个企业内实现密钥的安全漫游。同样,新的管理包和 CA 群集功能使监视 CA 的状态更加容易并可确保高可用性。最后,吊销检查中的改进使用基于标准的方法提供对证书的实时验证,而不会产生 CRL 分发的带宽成本。因此,Windows Vista 和 Windows Server 2008 使 Windows PKI 平台提升到了一个新级别。
