Windows 2000 Server的集成 把證書服務器集成到Exchange 2000中 前面已經提到,要在公共Exchange 2000環境中使用KMS,必須加載企業證書服務器。檢查一下系統管理員CA對象的特性(在MMC證書權圖標那裡),或在命令行運行Certsrv工具,使用-z選項,確認企業證書服務器已經安裝。圖1顯示了Certsrv工具的輸出。 需要注意的是,CA為每個登錄到高級安全的用戶發行了2個證書。 在Windows 2000企業版和在Exchange Server 5.5上,把KMS連接到CA政策模塊之間的根本區別是:Exchange 2000 KMS-CA可以比Exchange 2000發行更多的證書。在Exchange Server 5.5中裝上Exchange Server的政策模塊後,系統管理員便可以發行任何其他類型的證書。 Windows 2000在AD中能夠發行企業CA。浏覽AD的任何客戶都可以訪問公共的、集成了AD的企業CA服務器的位置信息。對於Exchange 2000 KMS而言,將KMS指向一個固定的證書服務器(在Exchange Server 5.5中就是這麼做的)並非必需。如果KMS-CA發生故障,則KMS會自動質詢AD,並尋找另一個容錯CA,這種靈活的特性省去了在KMS-CA之間跳轉的復雜過程。 在一些重要功能方面,Windows 2000證書服務器功能與早期的Windows NT版本相比有很大的提高。比如比較重要的提高有構造多級CA結構的能力,據悉,微軟已宣布它可以支持40級以上的結構。此外,系統管理員還可以把一個CA服務器連接到多個KMS服務器上。同時,Windows 2000還提供增強的與其他CA結構集成的功能,即系統管理員的Windows 2000 CA可以是另一個非微軟的廠商CA的下屬(盡管KMS-CA必須運行微軟CA軟件)。由此可見,能力的增強可改進互通性。 把目錄與AD集成 Exchange 2000的一個根本改變是目錄和AD的集成。微軟統一了Exchange 2000目錄對象和Windows 2000目錄對象,比如郵箱成為具有郵箱功能的用戶對象,用戶容器成為具有有郵件功能的聯系對象,分布式表(DL)成為有郵件功能的分布式組。這種統一給管理帶來非常明顯的方便,它可以使系統管理員在同一界面上對用戶安全和與郵件相關的特性進行設置。操作方法如下。 打開MMC的用戶和計算機圖標,雙擊任何用戶對象,查看它的特性(包括Exchange特性設置),如圖2所示。系統管理員所管理的新界面允許用戶以高級安全方式登錄,還允許廢除用戶證書,,恢復用戶的私人加密密鑰。 從Exchange Server 5.5d的SP1開始,高級安全支持證書信任表(CTL)的定義。CTL可以使系統管理員在2個沒有結構關系的CA之間設置基於證書的安全互通關系。Windows 2000通過信任根部證書權(Trusted Root Certification Authorities,TRCA)和企業信任組政策對象(Group Policy Object,GPO)入口實現CTL。 GPO是Windows 2000為計算機集中管理提供的新特性。它包含了許多Windows 2000的CA證書,高級安全自動把內部CA加到系統管理員內部客戶根部的CA存儲區。企業信任GPO入口包含了所信任的外部CA證書,但Windows 2000管理員只能手工地加上這些證書。通過GPO設置透明且自動的應用,信任CA的證書會被自動下載到Windows 2000證書存儲區。但Outlook 2000仍然從AD獲得CTL。KMS在KM服務器從相應的GPO-CTL入口創建這個CTL,並且為AD生成CTL。據稱,微軟將在未來的Outlook版本上全面支持GPO-CTL的設置。 CTL前景如何呢?新的KMS仍然會在KMS數據庫(kmsdir.edb)中維持它的CTL,並為AD生成CTL(KMS需要CTL來發布廢除了的X.509 Version 1證書,讓使用Outlook 98及以前版本的客戶得到CTL)。同時,Windows 2000的KMS-CA會向AD和CA Web目錄發布它的CTL。此外,Windows 2000企業證書服務器發布的Exchange服務器高級安全X.509 Version 3證書合並了Windows 2000的自動CTL檢查變化。這樣,每個證書都包含了CTL分布點的指針。 CDP具備一個重要的特點,即當軟件確認一份證書時,軟件可以根據證書的CDP定位合適的CTL。每個證書包含一個LDAP指針,它指向AD中的CTL,還包含一個HTTP指針,指向CA Web中的CTL。為了發揮CDP的優勢,系統管理員需要一個像包含在IE 5.0中的Outlook Express 5.0或Outlook 2000這樣的電子郵件客戶。 為了讓Outlook 2000支持CDP,系統管理員必須在注冊表中創建“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Cryptography\{7801ebd0-cf4b-11d0-851f-0060979387ea}”注冊鍵,並增加PolicyFlags注冊變量,將其值設為0x00010000。另外,還有一個有用的Windows 2000 CA特性,它讓系統管理員在MMC證書權圖標的廢除證書容器特性欄中設置CTL發布間隔。 Exchange服務器5.5可以用一個別名標識每個對象。因為別名包含了用戶郵箱的別名,系統管理員可以恢復用戶的加密密鑰(甚至當目錄不再包含一個用戶信箱的入口時)。如果CA創建了一個重名的信箱,相關的賬戶會繼承老用戶的關鍵歷史。 在Windows 2000中,一個外部的惟一標識(GUID)標識著Windows 2000互聯系統中的每一個目錄對象。在Exchange 2000中,具有郵箱功能的用戶對象可與一個GUID綁定,這樣在刪除用戶時會同時刪除GUID,但也可以重新啟用被刪除的GUID。於是,系統管理員可以找回刪除了的用戶對象密鑰和證書。 管好您的KMS 要管理KMS,系統管理員可以使用MMS的Exchange系統管理圖標,或者啟動高級安全作為單獨的圖標,還可以從MMS的“用戶”和計算機控制面板上登錄單獨的用戶。 口令記憶功能把管理口令暫存在系統內存中,當系統管理員每次進入KMS管理界面打開對話框時,不用重新輸入口令。在Exchange 2000中,微軟從高級安全的管理界面裡取消了口令記憶功能。由於入侵者可以從內存中竊取口令,所以可以說采用口令記憶技術有一定的危險性。正因如此,Exchange 2000在管理界面中增加了一組批量執行功能(這裡系統管理員只需輸入一次管理口令即可),它們是登錄、刪除、恢復、批量輸出和批量輸入。Exchange 5.5僅支持批量登錄。除此之外,微軟還在MMC的Exchange系統管理圖標頂部增加了一個按鈕,用來加速管理任務的執行。 系統管理員可以在3個不同層次(即管理組、服務器和單獨的用戶)執行批操作,如圖3所示。Exchange Server 5.5僅在容器級支持批量登錄。需要說明的是,Exchange 2000對Exchange Server 5.5的批量執行中的性能問題做了補救,比如當批量登錄超過2000個信箱時,Exchange 2000對系統執行慢的問題有一定的補救措施。
在KMS數據庫(kmsdir.edb)之間(即管理組之間)輸入和輸出用戶的賬戶、密鑰和證書歷史,是Exchange 2000對於組織機動性能的重要增強。在Exchange Server 5.5中,用戶不太可能隨意地在站點之間移動。要實現移動,系統管理員必須使用微軟的BackOffice Resource Kit Sectool工具批量解密所有用戶的郵件,把用戶郵箱移到其他站點,重新登錄用戶,最後用Sectool批量加密郵件。或者,系統管理員使用更復雜的一種辦法,即當與郵箱保持連接時,把用戶的密鑰和證書(用戶的KMS數據庫入口)輸出到一個.epf文件,然後在另一站點上把新的郵箱和輸入的.epf文件連接到Outlook上。為了方便新的I/O進程,Exchange 2000提供了Exchange KMS密鑰輸出引導,如圖4所示。引導使用CA證書保護輸出─輸入進程,系統管理員只可以運行一次輸入進程(只在一個管理組上)。引導把輸出和輸入進程的結果注冊到filename.exlog和filename.imlog中。這裡有一個提醒大家注意的事項:輸出引導不但輸出用戶的記錄,同時也把它們從KMS數據庫中刪除。 Exchange 2000的KMS仍然支持重要KMS操作的“導彈發射井”(或多重口令)政策,這意味著執行特定的管理任務時,KMS需要驗證多個管理信任證書。在Exchange 2000中,系統管理員可以為增加和刪除管理賬戶、恢復和廢除用戶密鑰改變對X.509版本1或版本3的支持,以及為輸入輸出用戶賬戶時設置多重口令。需要注意的是,系統管理員在KMS級所使用的管理賬戶不同於正規的Windows 2000賬戶,Exchange 2000把KMS賬戶與相關的口令存放在KMS數據庫中,默認的口令是password。 此外,微軟增強了KMS備份。現在KMS數據庫成了Windows 2000備份Exchange容器的一部分,它允許在線備份。系統管理員必須同時備份KMS和KMS-CA,以保證它們在證書撤回時保持同步。 KMS中用於問題釋疑的原始信息被安置在Windows NT事件浏覽應用的文件夾裡。Exchange 2000擴展了注冊入口的數量,在更新CTL或CTL以及用戶計費等方面變得更加安全。
