頒發 CA
雖然對頒發 CA 有一些性能要求,但由於這種 CA 的工作負載通常不高,因此,要求相對較低。 性能測試表明,即使在負載很高時,對於企業 CA 來說,其限制通常在於與 Active Directory 的交互(而不是 CA 本身)。 因此,硬件性能要求很低。 與根 CA 一樣,可靠性和可維護性是選擇硬件時的主要考慮因素。
證書服務使用與 Active Directory 相同的數據庫技術,因此適用許多相同的性能標准。 對於大多數組織來說,一條好的原則是使用與 Active Directory 域控制器相同的硬件規范。
有關 CA 性能的詳細信息,請參閱本章末尾參考的“設計公鑰基礎結構”一章中的“CA 容量、性能和可伸縮性”一節。
第 7 章“實施公鑰基礎結構”提供了建議的硬件配置。 除了適用於根 CA 的以上原則外,在指定頒發 CA 的服務器硬件時,Microsoft 還建議考慮下列事項:
使用 NIC 協作的冗余網絡接口卡 (NIC)。
為了可以在獨立的物理存儲單元中存儲 CA 日志,建議至少使用兩個冗余獨立磁盤陣列 (RAID 1) 卷。 這同樣具有性能方面的增益,並提高了對硬件故障的適應性。
可以考慮使用三個 RAID 1 卷(而不是兩個),分別在獨立的物理卷上存儲操作系統、證書服務數據庫和證書服務日志,以獲得更高的性能。
高性能 SCSI(小計算機系統界面)驅動器和控制器優於對等的 IDE(集成設備電路)產品,原因是性能更高,復原性更好。 除與 Active Directory 的交互操作外,磁盤子系統的性能可能是決定 CA 總體性能的最重要的因素。
應考慮使用 HSM 來得到證書頒發期間的附加安全性或更高的簽名操作性能。
與根 CA 相反,頒發 CA 要求 Windows Server 2003 Enterprise Edition 的附加功能,以支持可編輯證書模板和用戶證書自動注冊。
使用多個頒發 CA 以提高服務適應性
本節討論安裝多個頒發 CA 的技術方面原因。 使用不同的頒發 CA 注冊不同的證書類型還有一些安全和策略方面的原因。 本章後面章節將考慮這些原因。
硬件配置很低的單個頒發 CA 就已足夠向上萬客戶端頒發前面所述的證書類型,因此不大可能僅因性能原因而需要多個頒發 CA. 但是,應考慮頒發 CA 的可用性要求是否意味著必須部署多個 CA 來注冊同樣的證書類型。
CA 的可用性問題與許多服務不相同。 客戶端在使用或驗證證書時無需聯系 CA. 只有在要求 CA 進行下列操作時,客戶端才直接與 CA 聯系:
注冊新證書。
續訂證書。
吊銷證書。
發行新 CRL.
續訂 CA 證書本身。
下表詳細說明各自的可用性要求。
表 4.8:CA 服務可用性要求 CA 服務 可用性要求 注冊服務 — 新證書 如果它可能阻礙新用戶訪問要求證書的網絡或其他服務,這可能是一個重要的因素。 您必須評估從備份恢復 CA 所需的時間是否比在新用戶可以注冊證書前組織所能等待的時間要長。 大多數組織認為,等待 CA 恢復的成本低於管理額外 CA 的成本。 否則,您需要為相關證書類型配置多個頒發 CA。 注冊服務 — 續訂證書
如果將自動續訂用於所述證書類型,默認情況下,在上一次證書過期前六個星期,自動續訂就會進行。 相反,從備份恢復 CA 的時間通常以小時計算。 手動續訂的證書由所有者續訂。 您可能想要建立一個自動警告系統,以便在重要證書需要續訂時提醒所有者。否則,可用性條件與注冊新證書相同。
吊銷證書證書通常只能由頒發它的 CA 吊銷 — 其他 CA 無效。如果吊銷的時間十分緊急(即需要在恢復 CA 之前完成),只要具有要吊銷的證書的序列號和 CA 私鑰(還原到其他計算機上),就可在當前 URL 中插入吊銷條目。注意,CRL 通常有一天或一天以上的滯後時間。 除非 CA 的恢復時間長於下一次 CRL 發布的時間間隔,否則手動更新 CRL 的用處不大。
發布 CRLCRL 對於 CA 是唯一的 — 其他 CA 並不能使 CRL 發布的復原能力更強;而只能使 CRL 發布失敗的影響降至最低(因為並不是所有頒發的證書都依賴於失敗的 CRL)。訪問當前吊銷狀態對於許多證書應用來說是最基本的。 這意味著發布的 CRL 分布點 (CDP) 上必須有一個未過期的 CRL。 如果沒有,則對吊銷敏感的證書應用將失敗。CA 恢復時間應不長於上一個 CRL 過期與新的 CRL 發布之間的重疊期。 即使出現相反情況,仍然可以重新簽署 CRL,並延長其有效期。 “操作指南”中介紹了此過程。
續訂 CA 證書其他頒發 CA 不能幫助完成此任務。此操作不應太晚,以免 CA 恢復時間過於緊張。 即使是發生了這樣的情況,仍可使用父 CA 密鑰重新簽署 CA 證書,延長其有效期。
注:在上表中,CA 恢復時間和 CA 可用性包括影響 CA 向最終用戶提供服務的能力的任何事項。 這不限於服務器故障。 實際上,站點間的網絡問題是一個可能性更高的服務故障原因。 在確定所需的服務可用性級別時,應考慮可能影響向用戶交付服務的所有因素。
只要能很好地管理 CA 的備份和恢復,那麼只有注冊和一些續訂要求會影響是否使用多個 CA 來提供服務復原的決策。 必須衡量這些服務不可用的成本和提供附加 CA 的安裝和管理成本。
除可用性提高外,使用多個頒發 CA 還能提供更好的證書頒發性能,並使 CRL 的大小減半。 在本指南的解決方案中,這些因素都不重要。 本解決方案通過小心管理 CA 並通過足夠的備份和恢復操作來處理復原問題。 因此,本解決方案只需要一個頒發 CA.
使用 HSM 保護 CA 密鑰
使用 HSM 來保護所有 CA 的私鑰,可以顯著增強本指南提供的基本解決方案的安全性。 雖然這些措施通常很昂貴 — 一般比 CA 服務器更昂貴 — 但它們為您的環境帶來的增強的安全性是顯著的。 采取此措施使您可以將對 CA 密鑰操作的訪問僅限制為授權用戶。 敏感的操作(如導出和備份 CA 密鑰)通常使用多個智能卡保護。 這比僅信賴基於軟件的密鑰要安全一些,本地 Administrators 或 Backup Operators 組的成員可以從 CA 復制基於軟件的密鑰。
除了存在巨大的安全優勢外,HSM 還可通過將 CPU 負載轉移到專用的密碼加速處理器來加速 CA 操作。
CA 安全性
本節討論 CA 的安全性,包括操作系統和物理安全性、安全審核和監控以及使用角色委派 CA 的管理責任。
操作系統安全性
CA 的安全是通過使用 Windows 安全策略確保的。 這些設置基於“Windows Server 2003 安全指南”中的證書頒發機構服務器角色。
有關此角色中使用的設置的詳細信息,請參閱第 7 章“實施公鑰基礎結構”。
根 CA 的安全設置是使用安全模板直接應用的,而頒發 CA 的設置是使用組策略應用的。
物理安全性
CA 服務器的物理安全性至關重要。 除非可以控制對這些服務器的基本物理訪問,否則任何網絡或操作系統安全都沒有效用。
根 CA 應當放置在對服務器的訪問受到嚴格控制的位置。 對 CA 的訪問應當盡可能限制(每年二至三次),並且只有這些時候才需要打開服務器電源。 這意味著可將服務器存儲在不具備服務器室的標准計算機設施的安全存儲室。 例如,存儲室不需要網絡連接、復雜的服務器配套裝置或特殊的電源和溫度管理。
頒發 CA 也應放置在物理訪問受到嚴格控制的位置。 物理安全性很重要,這是因為如果攻擊者可以物理訪問計算機,那麼破壞安全性的方法就有很多種(超過通過網絡可能進行的攻擊)。 由於此服務器需要持續聯機,因此應當存儲在具有標准計算機服務器室設施(溫度控制、電源管理、空氣過濾以及消防等功能)的位置。
如有可能,應為兩種服務器都選擇可免受外部風險損壞(如火災、水災等)的位置。
同等重要的是,控制對備份、密鑰材料和其他配置數據的物理訪問,並確保它們的物理安全。 應將這些信息存儲在服務器本身以外的位置,以便能夠在整個站點不可用的情況下(如發生自然災害或火災時)進行 CA 恢復。
CA 的安全性管理
證書基礎結構可能是價值非常高的資產。 具體價值取決於您的組織使用證書的用途 — 不僅是現在,而是在未來五年或更長的時間裡。 因此,您應當使用比安裝其他 IT 基礎結構更嚴格的安全和驗證措施來安裝、配置和管理 CA. 這些措施至少應與用於域控制器的措施同等嚴格。 有些情況下,可能需要更高的安全級別。
您對 CA 的信任取決於您對 CA 已得到安全的設置和管理的高度信心。 如果無法保證 CA 的私鑰是否被秘密復制,將永遠無法確定應當由該 CA 頒發的證書是否是赝品。
這種確定性或信任級別在事實發生後就無法輕易地增加了;必須從一開始就將此特殊狀況構建在所有與 CA 的交互操作中。 例如,如果您有一些審核記錄或其他證據證明所有對 CA 的訪問都是合法的,則您的組織對於 CA 私鑰未被洩露這一事實的信心將要高得多。例如,在 CA 上的所有管理操作都被除管理員以外的人員目擊或有視頻記錄。 如果是脫機 CA,那麼它從未與網絡連接的事實可大大減少被洩露的可能性。
如果您的組織曾經因所頒發的證書的有效性而有過法律糾紛,則可能特別需要這種高確定性。 這些情況下,如果您具有 CA 未被洩露的證據,勝訴的幾率就較高。 對此問題的全面討論超出了本指南范疇,您應當咨詢審核人員和法律顧問,以就該主題進行深入探討。
以下是一些可用來顯著提高 CA 的確定性的步驟示例:
確保 CA 的物理安全性,以便未經授權的人員無法訪問 CA 硬件或備份媒體。
在有目擊證人在場的情況下,執行所有安裝和配置步驟 — 記錄主要的安裝步驟,並讓目擊者連署,證明這些步驟已成功執行。 (另一種方法是視頻錄制安裝過程,並將該視頻副本委托給受信任方。)