確保無線LAN安全之設計公鑰基礎結構一

　　簡介

　　上一章介紹了依賴於公鑰基礎結構 （PKI） 的安全無線解決方案的邏輯設計。 本章定義基於 MicrosoftWindows2003 證書服務，為該解決方案設計 PKI 的流程。 為了降低部署和管理成本，該解決方案設計相對比較簡單，非常適用於為安全無線客戶端和無線局域網 （WLAN） 基礎結構頒發證書。

　　雖然首要目的是設計支持安全 WLAN 的 PKI，但是要記住，PKI 也是組織的整體安全基礎結構的重要組成部分 — 環境中的其他各種應用以後可能使用它。 為了保護您對此基礎結構的投資，該解決方案設計可以擴展。 這意味著，雖然該設計可能不適用於頒發所有類型的證書，但是它允許您在將來添加其他功能和容量，以滿足比此處討論的更廣泛的安全需求。

　　本章有三個主要目的。 第一個目的是討論解決方案設計決策以及決策背後的理論依據。 第二個是提供一些背景規劃信息，以幫助您確定這些決策是否適用於您的 PKI. 第三個是指出擴展基本解決方案的方法，以幫助您滿足本解決方案的范圍以外的安全需求。

　　本章中出現的“本解決方案采用……”或“本設計采用……”等語句，是指該解決方案的“構建”和“操作”各章中實施的解決方案設計的決策。

　　諸如“您應該決定……”的語句表示您必須根據自已的要求作決策。 這種情況多數出現在文中討論如何擴展該解決方案以滿足組織更廣泛的安全需求的時候。 因此，有些主題進行了較詳細的討論，以便幫助您了解該步驟的含義，並且不必參考其他文檔。

　　本章先決條件

　　應非常了解 PKI 的一般原則和術語。 如果對此技術比較陌生，應先閱讀本章末尾“更多信息”一節參考的一些文章。

　　在繼續本章之前，應熟悉 Microsoft Windows Server2003 部署工具包的“設計公鑰基礎結構”一章。 有關如何獲取此信息的詳細信息，請參閱本章末尾的“更多信息”一節。 本章沿用部署工具包中“設計公鑰基礎結構”一章的結構，便於您參考相關背景信息和此處包含的更詳細的討論。

　　“更多信息”一節還提供了一些鏈接，指向有關如何規劃和設計 Windows Server 2003 PKI 的其他詳細信息。

　　本章概述

　　規劃和部署滿足組織當前及將來需求的 PKI 並非輕而易舉。 通常，PKI 不是為單個孤立的安全問題提供解決方案。 相反，組織會部署 PKI 來處理許多內部安全需求以及商業安全需求，以便與外部客戶或商業伙伴合作。

　　下面的流程圖展示了本章的結構。

　　圖 4.1 規劃證書服務的章節結構

　　這四個主要步驟是：

　　定義證書要求。 此步驟涉及定義要解決的安全問題。 這是由具體的應用和需要增強安全性的用戶、這些用戶所在的位置以及所需的增強安全性的程度決定的。 開始創建 PKI 之前，必須先定義安全和業務要求。

　　設計證書頒發機構的層次結構。 基於各種因素，您必須創建證書頒發機構 （CA） 的基礎結構。 此步驟包括定義信任模型、確定需要多少 CA、如何管理這些 CA 以及如何通過引入其他 CA 或與其他組織建立信任關系來擴展 PKI. 此外，此步驟還討論 PKI 如何與 IT 基礎結構中的其他技術（如 Active Directory目錄服務和 Microsoft Internet 信息服務 （IIS））集成。

　　配置證書配置文件。 此步驟包括決定使用的證書類型、與這些證書關聯的密鑰的強度、證書的有效期以及這些證書是否可以續訂。

　　創建證書管理計劃。 此步驟定義如何將證書頒發給最終用戶、如何處理證書申請，以及如何管理和分發證書吊銷列表 （CRL）。

　　定義證書需求

　　本節定義 PKI 頒發證書的用途，以及各個用途的安全要求。

　　創建證書實施聲明

　　設計 PKI 時，應當記錄有關如何在組織中頒發和使用證書的決定。 這些決定稱為證書策略，記錄這些決定的文檔稱為證書策略聲明和證書實施聲明。

　　正式地來講，證書策略 （CP） 是一組指導 PKI 如何操作的規則。 例如，它記錄證書對特定客戶端組或對普通安全需求的應用的適用性。 證書實施聲明 （CPS） 是組織用於管理它所頒發的證書的實施聲明。 它描述在組織系統體系結構和操作程序環境中，如何解釋組織的證書策略。 CP 是組織級的文檔。 但是，CPS 是特定於 CA 的（盡管當 CA 執行相同作業時可能使用公用 CPS — 例如，因性能或復原原因將 CA 負載分發到多個服務器時）。

　　對於某些組織和證書用途，CP 和 CPS 被視為法律文檔或法律免責聲明。 撰寫這些文檔通常需要專業的法律意見，這超出了本文范疇。 不過，將哪一個文檔作為 PKI 的構成部分並沒有嚴格的要求。 如果沒有特定的法律或商業原因，可以不必花費時間和資金來制訂和維護正式的證書策略和實施聲明。

　　盡管可能不需要正式的 CP 或 CPS，但仍應將證書策略和操作規范記錄成文檔。 證書策略應當成為您的組織的整體安全策略的一部分，操作規范應當成為安全管理過程的組成部分。 這可以稱為非正式 CPS.

　　您應當根據 PKI 的預期用途確定是否要制訂正式的策略聲明和 CPS. 如果需要正式的 CPS，則很可能需要發布它，並在 CA 證書中加以引用。 雖然本解決方案中沒有包括有關撰寫正式的 CPS 的指導，但是第 7 章“實施公鑰基礎結構”中提供了如何發布 CPS 的說明。一般情況下不需要發布非正式 CPS.

　　在本章其余部分中，會經常提到在您的 CPS 中記錄決定。 這些說明對於正式和非正式 CPS 同樣適用。

　　本章末尾的“更多信息”一節提供了一些有關如何制訂 CPS 的其他信息來源。

　　確定證書應用程序

　　PKI 設計過程中的第一步是確定要使用證書的應用程序的列表。 應該記錄每項應用所需的證書類型，以及該應用需要的證書的大致數量。 在這一階段，無需指定證書的任何細節信息，只需提供簡短描述即可。

　　安全無線解決方案需要無線客戶端和 Windows 遠程身份驗證撥入用戶服務 （RADIUS） 服務器的證書。 Microsoft RADIUS 服務器是 Windows Server 的組件，稱為 Internet 驗證服務 （IAS）。

　　下表顯示了所需的證書類型。 雖然本解決方案並不嚴格要求，但 PKI 還會向域控制器頒發證書（當在林中安裝了 Windows 2003 Enterprise CA 時，這是默認值）。

　　表 4.1：安全無線解決方案的證書要求 應用程序 證書類型 證書數量 安全 WLAN 用戶的客戶端身份驗證證書。 所有需要訪問 WLAN 的用戶。 計算機的客戶端身份驗證證書。 所有無線 LAN 計算機。 IAS 服務器的服務器身份驗證證書。 所有 IAS 服務器。 Active Directory 域控制器身份驗證。 林中的所有域控制器。

　　將來您可以擴展 PKI，以為下表所示的應用頒發證書。

　　表 4.2：未來可能的證書要求 應用程序 證書類型 證書數量 客戶端訪問虛擬專用網絡 (VPN) 計算機客戶端身份驗證 (IPsec) 所有遠程 VPN 客戶端 分支到分支 VPN VPN 服務器身份驗證 (IPsec) 所有 VPN 路由器 IP 安全性 (IPsec) 計算機客戶端身份驗證 所有要求 IPsec 的客戶端和服務器計算機 Web 安全性 對訪問 Intranet Web 應用程序的用戶的身份驗證。 所有用戶 Intranet Web 服務器 安全 Intranet Web 服務器 加密文件系統 (EFS) EFS 用戶 所有用戶 EFS 數據恢復 恢復代理 安全電子郵件 安全/多用途 Internet 郵件擴展 (S/MIME) 簽名和加密 所有電子郵件用戶 密鑰恢復 恢復代理 智能卡 智能卡登錄 域用戶 代碼簽名 內部代碼和宏簽名 代碼發布管理員

　　定義證書客戶端

　　對前一節中列出的應用，應該定義將使用證書的客戶端。 這裡，術語“客戶端”是指任何使用 PKI 頒發的證書的人員、軟件進程或者設備。 例如，客戶端包括用戶、服務器、工作站和網絡設備。 為了解如何使用頒發的證書，您必須考慮兩個主要客戶端類別：證書使用者（或最終實體）和其他證書用戶。

　　最終實體是指具有由 PKI 頒發的證書的客戶端。 證書的“使用者”或“使用者備用名稱”字段有一個或多個條目，將客戶端（如主機名、電子郵件地址或目錄可分辨名稱）標識為該證書的所有者。 另一類證書用戶是指可能需要驗證最終實體的證書，或者要在目錄中查找證書，但 PKI 並不向其頒發證書的客戶端。

　　以下常見實例可幫助您進行區分：在安全網站上購物的 Internet 用戶是該網站的安全套接字層 （SSL） 證書的用戶。 但是，該網站是證書最終實體；其身份 — — 被編碼到證書的“使用者”字段中。 只有證書使用者有權使用證書私鑰 — 其他證書用戶則不能。 注：證書使用者也幾乎總是自已的證書和（通常情況）其他證書的證書用戶。

　　注：“最終實體”是正確的技術術語，但本章的大多數地方都使用更友好的術語“證書使用者”。

　　對於證書使用者和證書用戶，都應當通過回答下列問題來對各個客戶端類型進行分類：

　　客戶端是一個人，一台計算機或設備，還是一個軟件進程？

　　證書將在什麼平台（操作系統版本）上使用？

　　客戶端的網絡位置在哪裡例如，它是連接到內部局域網、位於合作伙伴組織中，還是在 Internet 上？

　　該客戶端是域成員嗎如果是，是位於與 CA 不同的域中，還是在不同的林中是不受信任的域嗎？

　　該客戶端需要執行何種類型的操作例如，注冊證書，使用證書簽名，驗證證書信任，在目錄中查找證書，以及檢查證書吊銷狀態。

　　這種分類將影響許多設計決策，例如如何頒發證書、對給定證書的信任級別，以及如何發布證書吊銷信息。

　　對於本解決方案，下表對客戶端類別作了詳細說明。

　　表 4.3：證書使用者（最終實體）類別 證書 證書類型 平台 位置 域 證書操作

無線客戶端身份驗證

用戶 Windows XP 內部網絡 域成員 –注冊–身份驗證

無線客戶端身份驗證

計算機 Windows XP 內部網絡 域成員 –