實現(xiàn)證書自動信任機制

利用證書，可以實現(xiàn)加密和認(rèn)證機制，可以有力的保護網(wǎng)絡(luò)安全。要想使用證書，用戶必須向CA證書頒發(fā)機構(gòu)進行申請，才可以得到并安裝證書。但是，要想讓證書發(fā)揮作用，用戶的計算機必須信任CA證書頒發(fā)機構(gòu)。

例如，在域環(huán)境中，對于企業(yè)根CA來說，域中的所有主機都可以自動信任該企業(yè)根CA。但是，如果采用獨立根CA，并由非域管理員等權(quán)限較低的用戶安裝在成員服務(wù)器，就需要用戶手工下載CA根證書，之后導(dǎo)入到本機中的受信任的根證書頒發(fā)機構(gòu)列表中。當(dāng)然，對于外網(wǎng)上的獨立根CA來說，用戶的計算機也不會自動信任其根CA。其實，使用組策略就可以輕松解決上述根證書的信任問題。

信任內(nèi)網(wǎng)中的獨立根CA

在一些公司內(nèi)網(wǎng)中，獨立CA是安裝在成員服務(wù)器上的，而且安裝者并不具備訪問活動目錄域服務(wù)的權(quán)限。在域中的某臺主機上訪問“http://xxx.xxx.xxx.xxx/certsrv”地址，其中的“xxx.xxx.xxx.xxx”為獨立根CA的主機地址，在證書申請頁面中點擊“下載CA證書、證書鏈或CRL”鏈接，在下一步頁面中點擊“下載CA證書鏈”鏈接，會得到名為“certnew.p7b”的文件，其中包含證書和證書路徑信息。如果點擊“下載CA證書”鏈接，會得到名為“certnew.cer”的文件，這僅僅是一個證書而不包含證書存儲路徑信息。

圖1 導(dǎo)入受信任的根證書頒發(fā)機構(gòu)

如果該機已經(jīng)存儲有CA根證書，可以在IE的Internet選項窗口中打開“內(nèi)容”面板，點擊“證書”按鈕，在證書窗口中的“受信任的很證書頒發(fā)機構(gòu)”面板中找到目標(biāo)CA根證書，點擊導(dǎo)出按鈕，在向?qū)Ы缑嬷羞x擇“DER編碼二進制X.509”或“Base64編碼二進制X.509”項，將得到后綴為“.cer”的證書。選擇“加密消息語法標(biāo)準(zhǔn)-PKCS #7證書”項，可以得到后綴為“.p7b”的證書文件。在下一步窗口中輸入證書的名稱，將其導(dǎo)出即可。

在域控制器上打開組策略管理窗口，在左側(cè)選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，可以編輯整個域的缺省策略。當(dāng)然，也可以選擇其中OU，來對其進行編輯。在組策略編輯窗口左側(cè)，選擇“計算機配置→策略→Windows設(shè)置→安全設(shè)置→公鑰策略→受信任的根證書頒發(fā)機構(gòu)”項，在右鍵菜單上點擊“導(dǎo)入”項，在向?qū)Ы缑妫ㄈ鐖D1）中點擊瀏覽按鈕，選擇上述后綴為“.p7b”的文件，在下一步的證書存儲窗口中選擇“將所有的證書放入下列存儲”項，點擊瀏覽按鈕，選擇“受信任的證書頒發(fā)機構(gòu)”項，之后點擊完成按鈕，完成證書的導(dǎo)入操作。

之后，在域中每臺主機上分別執(zhí)行“gpupdate /force”命令，來刷新組策略，或者執(zhí)行重啟操作，讓其應(yīng)用上述策略，獲得所需的CA根證書。運行“mmc”命令，在控制臺中點擊菜單“文件→添加/刪除管理單元”項，在左側(cè)選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，在控制臺左側(cè)選擇“受信任的根證書頒發(fā)機構(gòu)→證書”項，可以看到導(dǎo)入的上述根CA證書。實際上，只要計算機信任了根CA證書頒發(fā)機構(gòu)，該根CA下的所有子CA自然也在信任的范圍之內(nèi)。

信任外網(wǎng)上的獨立根CA

對于Internet上的證書頒發(fā)機構(gòu)來說，如果想讓內(nèi)網(wǎng)中的主機信任根CA的話，就需要創(chuàng)建證書信任列表，之后利用企業(yè)信任策略將該列表中的所有根CA證書發(fā)送給內(nèi)網(wǎng)中的所有主機。這樣，內(nèi)外網(wǎng)中的所有主機就會自動對其產(chǎn)生信任。這里，以對名為“xxx.com Corporation Root CA”的獨立根CA為例進行說明，假設(shè)其使用的是Windows的活動目錄證書服務(wù)，按照上述方法，下載根CA證書，名稱為“xxxcorp.p7b”。

圖2 證書信任列表向?qū)Т翱?/p>

注意，因為證書信任列表必須經(jīng)過簽名處理，為了便于操作，還需要一個進行簽名的證書。在域中登錄到在Windows Server 2012域控上，打開IE的Internet選項窗口，在“安全”面板中點擊“本地Intranet”項，在“該區(qū)域的安全級別”欄中拖動滑塊，將安全級別設(shè)置為“低”狀態(tài)。點擊“站點”按鈕，在彈出窗口中點擊高級按鈕，在“將該網(wǎng)站添加到區(qū)域”欄中輸入“http://xxx.xxx.xxx.xxx”，點擊添加按鈕，將其添加到網(wǎng)站列表中。

該“xxx.xxx.xxx.xxx”為某企業(yè)根CA主機的地址。例如，可以是本域或某個信任域中的企業(yè)根CA主機等。在IE中訪問“http://xxx.xxx.xxx.xxx/certsrv”， 在歡迎使用頁面中點擊“申請證書”鏈接，在申請一個證書頁面中點擊“高級證書申請”鏈接。在高級證書申請頁面中點擊“創(chuàng)建并向此CA提交一個申請”鏈接，在打開頁面中的“證書模板”列表中選擇“管理員”項，點擊是按鈕，在證書已頒發(fā)頁面中點擊“安裝此證書”鏈接，來安裝該證書。之后，在IE的Internet選項窗口的“安全”面板中的該區(qū)域的安全級別”欄中拖動滑塊，將安全級別設(shè)置為“中”狀態(tài)，恢復(fù)其默認(rèn)設(shè)置。

在域控制器上打開組策略管理窗口，在左側(cè)選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，在組策略編輯窗口左側(cè)選擇“計算機配置→策略→Windows設(shè)置→安全設(shè)置→公鑰策略→企業(yè)信任”項，在右鍵菜單上點擊“新建→證書信任列表項”，在向?qū)Ы缑妫ㄈ鐖D2）中的證書信任列表窗口選擇“服務(wù)器身份驗證”項，點擊下一步，在CTL中的證書窗口底部點擊“從文件添加”按鈕，選擇上述“xxxcorp.p7b”證書文件。在下一步的簽名證書窗口中點擊“從存儲區(qū)選擇”按鈕，選擇上述申請到的用來對證書信息列表簽名的證書。依次點擊下一步按鈕，在名稱和描述窗口中輸入易于記憶的名稱，之后點擊完成按鈕，可以看到創(chuàng)建的企業(yè)信任策略。

之后，在域中每臺主機上分別執(zhí)行“gpupdate /force”命令，來刷新組策略，或者執(zhí)行重啟操作，讓其應(yīng)用上述策略，獲得所需證書信任列表，使其自動信任外部的獨立根CA（例如“xxx.com Corporation Root CA”等）。注意，對于使用證書信任列表信任的CA證書來說，不會出現(xiàn)在受信任的根證書頒發(fā)機構(gòu)中。