在 Active Directory 域上实施 PKI

Question

一层还是两层？

您的环境很小的说法确实有一定道理。根 CA 的目的实际上有两个方面：在多 CA 环境中，它将您的信任锚聚合为一个，从而简化了依赖方存储中信任锚的管理；并且（如果保持真正离线）它有助于在颁发 CA 受到损害的情况下缓解信任锚分布问题，因为它被设计为永远不会受到损害（即离线并具有严格的物理和程序控制）。

听起来第一个目的不适用于你。但是，你的环境可能会增长，如果将来出现第二个颁发 CA，你可能会庆幸你已经有一个根 CA 来签名它？

第二个目的可能听起来不适用于你，但同样，事情可能会随着时间的推移而改变。此外，Microsoft Windows 域在这方面也有些帮助，因为你可以使用 AD 或组策略来分发和/或删除信任锚，但如果你有一个单级 PKI，并且发生了更糟糕的事情，你是否相信 AD/组策略能够从中删除 CA 证书全部您的依赖方？甚至是您忘记的那些，或者由于用户正在路上而处于离线状态的笔记本电脑？

如果您的环境是虚拟的，那么将根 CA 用作另一个 VM 几乎没有什么好处。没有人可以坦诚地说 VM 处于离线状态。它可能已关闭，但可以打开，并且它会有备份（应该有），可以克隆和启动。如果您坚持使用 VM，请确保在磁盘映像上使用某种形式的静态加密，并将密码短语保存得非常安全。然后担心几年后没有人会注意到 VM 已经有一段时间没有启动了，因此会在没有检查的情况下将其删除。这就是这些备份派上用场的地方……

在虚拟环境中，另一种选择是购买一台笔记本电脑并在其上安装根 CA。不使用时，将其锁在保险箱中。您仍然需要在其周围实施一些强大的流程，以确保没有其他人可以访问它，并且没有人会在 10 年后找到它（积满灰尘）并决定将其回收！您还需要在每次使用后将这台笔记本电脑备份到加密的硬盘上，这也需要受到相同级别的保护。

您对此研究得越多，您就越会意识到 PKI 实际上并不是关于技术（它只是少数服务器），而是关于您为使其成为值得信赖的服务而实施的流程和程序。

AIA 和 CDP URL

正如您正确理解的那样，这些将在颁发 CA 证书中设置。它将由根 CA (XCA) 应用于颁发 CA 证书。

XCA 允许您生成用于应用此类设置的模板。只需生成一个新的 CA 模板（基于内置 CA 模板），并将类型设置为证书颁发机构，将路径长度设置为 0（且为关键），以确保此颁发 CA 证书下的任何实体都不能成为另一个 CA。在此模板上启用主题密钥标识符和颁发机构密钥标识符，并将 CRL 分发点设置为您将托管 XCA 生成的 CRL 的 URL（例如http://pki.mycompany.local/cdp/rootCA0.crl）。您需要一些手动过程将 XCA 生成的 CRL 上传到该位置。

无需在颁发 CA 证书上设置 AIA caIssuer，因为颁发者是根 CA，所有依赖方都必须在其信任锚存储中安装根 CA。也就是说，他们永远不需要使用此扩展来查找根 CA 证书。

编辑此模板时，将密钥用法设置为关键，并选择证书签名和 CRL 签名（仅）。不要选择任何扩展密钥用法。

从 Netscape 选项卡中删除所有内容（现在是 2023 年！）

在 CRL 分发点和授权信息访问设置中使用变量的 Microsoft 系统在 XCA 中不可用。但也不是必需的。在 Microsoft 世界中，它用于自动生成 CRL、证书名称和路径，并且在您重新密钥 CA 证书时非常有用。对于 XCA 根 CA，您只有一个 - 下载 CRL 的 URL - 因此使用变量会有些过头。如果将 XCA 用作颁发 CA，这种功能可能在 XCA 中很有用，但我认为它尚未实现。

互联网信息服务

IIS 确实需要位于颁发 CA 以外的服务器上。这是因为它应该绝不在生产环境中安装在 CA 上。

CA 是一项需要保护的高价值服务。考虑添加防火墙规则，以便只有您的订户可以访问它。您的 CRL 的 IIS 服务应该可以从所有依赖方访问，无论他们位于何处。严格的防火墙规则在这里会成为一种障碍。如果您在 CA 上托管 IIS，则需要非常开放的防火墙规则，这会增加攻击面。如果 IIS 受到攻击，攻击者可以访问您的 CA 密钥。

将您的 IIS 服务放在与 CA 不同的服务器上。

话虽如此，但并不存在 PKI 警察，而且我看到很多实施方案为了简单和节省成本而忽略了这一建议。

CAPolicy 配置文件

可能不需要。如果您不想启用所有 ADCS 模板，您可以添加：

[Certsrv_Server]
LoadDefaultTemplates=0

您不太可能需要注册 OID。除了在 PKI 公约中获得一些赞誉之外，它不会给您带来任何好处。检查 OID 的依赖方软件数量极其有限，因此它只是添加到已颁发证书上的标签。如果您决定编写严格的治理文档来管理您的 PKI 服务，那么您可能需要考虑使用 OID，但在深入这个雷区之前，您需要先了解治理原则。

OCSP

如果您希望撤销证书，OCSP 会很有用，因为它减少了您的依赖方下载大型 CRL 的要求（之所以很大，是因为当您撤销证书时它们会变得更大）。

OCSP 还可以帮助在 Web 浏览器中启用撤销功能，而如今 Web 浏览器往往会忽略 CRL。浏览器供应商对 CRL 和 OCSP 的支持有所不同，因此如果您坚持要求浏览器检查证书是否被撤销，则需要进行一些研究。

Microsoft 文档值得一读。

资源

为什么要信任一些随机博客来提供如此重要的安全服务？微软用于配置其产品的资源有什么问题？示例：

证书的工作原理（2K3 时代，但有关设置和内部的有用信息）

证书撤销的工作原理（2K8 时代）

如果你真的必须在微软之外冒险，那么我建议PKI 解决方案作为值得信赖的来源，或系统管理员 LV。

最后，既然我提到了值得信赖来源，你现在必须问问自己是否相信我的胡言乱语:-)

最后

请先在实验室中构建此服务。要创建值得信赖的服务，您需要确保生产构建顺利进行，这意味着这不应该是您第一次尝试此操作。

Answer 1

一层还是两层？

您的环境很小的说法确实有一定道理。根 CA 的目的实际上有两个方面：在多 CA 环境中，它将您的信任锚聚合为一个，从而简化了依赖方存储中信任锚的管理；并且（如果保持真正离线）它有助于在颁发 CA 受到损害的情况下缓解信任锚分布问题，因为它被设计为永远不会受到损害（即离线并具有严格的物理和程序控制）。

听起来第一个目的不适用于你。但是，你的环境可能会增长，如果将来出现第二个颁发 CA，你可能会庆幸你已经有一个根 CA 来签名它？

第二个目的可能听起来不适用于你，但同样，事情可能会随着时间的推移而改变。此外，Microsoft Windows 域在这方面也有些帮助，因为你可以使用 AD 或组策略来分发和/或删除信任锚，但如果你有一个单级 PKI，并且发生了更糟糕的事情，你是否相信 AD/组策略能够从中删除 CA 证书全部您的依赖方？甚至是您忘记的那些，或者由于用户正在路上而处于离线状态的笔记本电脑？

如果您的环境是虚拟的，那么将根 CA 用作另一个 VM 几乎没有什么好处。没有人可以坦诚地说 VM 处于离线状态。它可能已关闭，但可以打开，并且它会有备份（应该有），可以克隆和启动。如果您坚持使用 VM，请确保在磁盘映像上使用某种形式的静态加密，并将密码短语保存得非常安全。然后担心几年后没有人会注意到 VM 已经有一段时间没有启动了，因此会在没有检查的情况下将其删除。这就是这些备份派上用场的地方……

在虚拟环境中，另一种选择是购买一台笔记本电脑并在其上安装根 CA。不使用时，将其锁在保险箱中。您仍然需要在其周围实施一些强大的流程，以确保没有其他人可以访问它，并且没有人会在 10 年后找到它（积满灰尘）并决定将其回收！您还需要在每次使用后将这台笔记本电脑备份到加密的硬盘上，这也需要受到相同级别的保护。

您对此研究得越多，您就越会意识到 PKI 实际上并不是关于技术（它只是少数服务器），而是关于您为使其成为值得信赖的服务而实施的流程和程序。

AIA 和 CDP URL

正如您正确理解的那样，这些将在颁发 CA 证书中设置。它将由根 CA (XCA) 应用于颁发 CA 证书。

XCA 允许您生成用于应用此类设置的模板。只需生成一个新的 CA 模板（基于内置 CA 模板），并将类型设置为证书颁发机构，将路径长度设置为 0（且为关键），以确保此颁发 CA 证书下的任何实体都不能成为另一个 CA。在此模板上启用主题密钥标识符和颁发机构密钥标识符，并将 CRL 分发点设置为您将托管 XCA 生成的 CRL 的 URL（例如http://pki.mycompany.local/cdp/rootCA0.crl）。您需要一些手动过程将 XCA 生成的 CRL 上传到该位置。

无需在颁发 CA 证书上设置 AIA caIssuer，因为颁发者是根 CA，所有依赖方都必须在其信任锚存储中安装根 CA。也就是说，他们永远不需要使用此扩展来查找根 CA 证书。

编辑此模板时，将密钥用法设置为关键，并选择证书签名和 CRL 签名（仅）。不要选择任何扩展密钥用法。

从 Netscape 选项卡中删除所有内容（现在是 2023 年！）

在 CRL 分发点和授权信息访问设置中使用变量的 Microsoft 系统在 XCA 中不可用。但也不是必需的。在 Microsoft 世界中，它用于自动生成 CRL、证书名称和路径，并且在您重新密钥 CA 证书时非常有用。对于 XCA 根 CA，您只有一个 - 下载 CRL 的 URL - 因此使用变量会有些过头。如果将 XCA 用作颁发 CA，这种功能可能在 XCA 中很有用，但我认为它尚未实现。

互联网信息服务

IIS 确实需要位于颁发 CA 以外的服务器上。这是因为它应该绝不在生产环境中安装在 CA 上。

CA 是一项需要保护的高价值服务。考虑添加防火墙规则，以便只有您的订户可以访问它。您的 CRL 的 IIS 服务应该可以从所有依赖方访问，无论他们位于何处。严格的防火墙规则在这里会成为一种障碍。如果您在 CA 上托管 IIS，则需要非常开放的防火墙规则，这会增加攻击面。如果 IIS 受到攻击，攻击者可以访问您的 CA 密钥。

将您的 IIS 服务放在与 CA 不同的服务器上。

话虽如此，但并不存在 PKI 警察，而且我看到很多实施方案为了简单和节省成本而忽略了这一建议。

CAPolicy 配置文件

可能不需要。如果您不想启用所有 ADCS 模板，您可以添加：

[Certsrv_Server]
LoadDefaultTemplates=0

您不太可能需要注册 OID。除了在 PKI 公约中获得一些赞誉之外，它不会给您带来任何好处。检查 OID 的依赖方软件数量极其有限，因此它只是添加到已颁发证书上的标签。如果您决定编写严格的治理文档来管理您的 PKI 服务，那么您可能需要考虑使用 OID，但在深入这个雷区之前，您需要先了解治理原则。

OCSP

如果您希望撤销证书，OCSP 会很有用，因为它减少了您的依赖方下载大型 CRL 的要求（之所以很大，是因为当您撤销证书时它们会变得更大）。

OCSP 还可以帮助在 Web 浏览器中启用撤销功能，而如今 Web 浏览器往往会忽略 CRL。浏览器供应商对 CRL 和 OCSP 的支持有所不同，因此如果您坚持要求浏览器检查证书是否被撤销，则需要进行一些研究。

Microsoft 文档值得一读。

资源

为什么要信任一些随机博客来提供如此重要的安全服务？微软用于配置其产品的资源有什么问题？示例：

证书的工作原理（2K3 时代，但有关设置和内部的有用信息）

证书撤销的工作原理（2K8 时代）

如果你真的必须在微软之外冒险，那么我建议PKI 解决方案作为值得信赖的来源，或系统管理员 LV。

最后，既然我提到了值得信赖来源，你现在必须问问自己是否相信我的胡言乱语:-)

最后

请先在实验室中构建此服务。要创建值得信赖的服务，您需要确保生产构建顺利进行，这意味着这不应该是您第一次尝试此操作。

在 Active Directory 域上实施 PKI

一层还是两层？

AIA 和 CDP URL

互联网信息服务

CAPolicy 配置文件

OCSP

资源

答案1

一层还是两层？

AIA 和 CDP URL

互联网信息服务

CAPolicy 配置文件

OCSP

资源

最后

相关内容