Windows 2008 PKIの戦闘1：管理

Microsoft PKIはWindows Server 2008で多くの改善を行い、多くの機能を追加しました。これらの機能の最初のものは、特に自動コンピュータとユーザー証明書に関する証明書ライフサイクル管理です。登録Windows Server 2008では、証明書ローミングの新機能を使用することで証明書ライフサイクル管理の機能強化が実現されました。この機能については後で説明します。

開発者にとってより一般的な方法は、PKIインフラストラクチャを会社のビジネスアプリケーションに結び付けることです。良い例は、スマートカードまたは強力な認証を自社のソフトウェアに統合しようとしている会社です。新しい証明書登録アプリケーションインタフェースにより、この機能をよりスムーズに統合できます。

サーバーサイドでは、使いやすさの向上が証明書サービスの管理と展開に反映されています。特に失効確認の分野で、証明書の失効も大幅に増加しています。

インスタンス環境

例を見てみましょう。

SEA-DC-01という名前のサーバーを使用します。これはドメインコントローラー、DNSサーバーです。 Active Directory証明書サービスの役割をインストールする方法を説明します。図1：

2008 Windows Serverの

Windows Server 2008ので
プレゼンテーションPKIの
は、役割の追加ウィザードが含まれています。役割の追加ウィザードは、役割のインストールに使用されるだけでなく、役割の設定も含まれています。役割が正しく機能するために実行する必要がある主な設定作業は、ウィザードの一部です。役割の追加ウィザードに表示されるすべての構成は既定で安全であり、ITプロフェッショナル向けの既定のスマート最適化があります。最初のステップはサーバーマネージャを開くことです。サーバーマネージャーは詳細からすべての異なる役割を表示します。現在、Active DirectoryドメインサービスとDNSサーバーの役割が構成されています。今日追加しようとしているのは証明書サービスです。まず、IISの役割を追加する必要があります。

ベストプラクティスとして、常に強力なパスワードを管理者に割り当て、静的IPを設定し、オペレーティングシステムに最新のセキュリティ更新プログラムが適用されていることを確認する必要があります。

図2に示すように、Active Directory証明書サービスを選択します。私たちのガイドはあなたが私たちが加えたいと思う役割に基づいて個人化されたステップをあなたに示すでしょう。

し、我々は、Active Directory証明書サービスを表示することができ、他のWindows Serverベースの公開鍵インフラストラクチャ2008の展開と管理情報にアクセスします。

証明書サーバーにはさまざまな役割サービスが含まれています。図3に示すとおりネットワーク登録を使用するので、IISサーバーの役割も増やす必要があります。

公開キー基盤証明書、証明書失効リスト、および認証局またはCAを含む複数の成分です。ほとんどの場合、S /MIME（Secure /Multipurpose Internet Mail Extensions）、Secure Sockets Layer、暗号化ファイルシステム、スマートカードなどのX.509証明書に依存するアプリケーションでは、証明書のステータスを実行する必要があります。操作を認証、署名、または暗号化するとき。証明書失効ステータスを確認する方法はいくつかありますが、最も一般的なメカニズムは、CRL、デルタCRL、およびオンライン証明書ステータスプロトコル（OCSP）です。 OCSPプロトコルを追加します。

CAは、企業サーバーまたはスタンドアロンサーバーとしてインストールできます。両者の違いは、ディレクトリサービスを使用して管理、公開、または証明書管理を単純化するかどうかです。図4に示すとおり

我々はキーを取得するためには他のCAを持っていないので、このサーバは、ルートCAである必要があります。図5に示すようにで

これが新規インストールであるので、我々は新しい秘密鍵は、私たちのCAの使用で作成されます。サーバーはこのキーを使用して証明書を生成し、ユーザーに発行します。図6に示すとおり

のための暗号化サービスプロバイダ（CSP）とハッシュアルゴリズムを選択することができ、多くのオプションがあります。

。デフォルトのオプションは、RSA Microsoftソフトウェアキーストレージプロバイダおよび2048ビット暗号化SHA1アルゴリズムに設定されています。図7に示すとおり

我々は、CAのデフォルト名を使用します図8に示すとおりで
は、各証明書には有効期限があります。有効期限が切れると、証明書は受け入れ可能または利用可能な資格情報と見なされません。証明書を更新するには、以前に使用したのと同じキーを使用するか、または新しいキーセットを使用します。この設定にはデフォルト値を使用します。図9に示すように

CAのデータとログファイルの場所のインストール時に変更することができます。図10に示すように

このプレゼンテーションでもインストールする必要がありますので、IISは、依存サービスですので、我々はまた、それを設定する必要があります。図11に示すように、IISインストールで特別なオプションを設定する必要はありません。そのため、デフォルト設定を使用して最終ページに進むことができます。で
は、役割、我々は印刷、電子メールをクリックするか、リンクを保存することができますインストールオプションの概要を確認するには。これにより、Windows Internet Explorerウィンドウが開き、現実的にすべての情報が表示されます。図12に示すとおり

私たちの現実は、インストールを開始します。図13に示すように。インストールが完了すると、弊社のサーバーはユーザー証明書とキーを割り当てて管理できるようになります。

資格情報管理サービスの概要

信任状管理サービスが導入されます。これらの機能は、クライアントとサーバーの役割に分けられます。

クライアント証明書サービスは、自動登録と資格情報ローミングで構成されています。自動登録は新しいものではありませんが、そのアーキテクチャはWindows VistaおよびWindows Server 2008のセキュリティのために再設計されました。

資格情報ローミングは、Windows Server 2003 SP1で導入された新機能であり、現在はWindows VistaおよびWindows Server 2008に不可欠な要素です。

サーバー側にはActive Directory証明書サーバーの役割が含まれています。まず、特定の登録特権を定義する委任登録エージェントがあります。

最後に、マイクロソフトはハードウェアデバイスの単純な証明書登録プロトコルを展開する統合ネットワークデバイス登録サービスを提供しています。

Windowsでは、自動登録は実際には新しいコンポーネントではありませんが、既存のアーキテクチャは攻撃対象を減らすために書き直されました。

で
zh-CN"],null,[1],zh-TW"]]]