(接上篇)在線吊銷服務是Windows Server 2008中引入的一個新組件。是OCSP 協議的Microsoft 部署。該功能加上新的OCSP 應答服務,是一個大的提高與基於CRL的吊銷相比。客戶端的OCSP 客戶端已經被重新設計架構,加上OCSP響應程序。此外,OCSP方法已經被集成到Kerberos和SSL中。
新的OCSP響應程序以擴展性為目的而設計的,能夠被部署證書服務器或完全分離的計算機上。該服務也能夠被應用到多個群集計算機。該服務器端的組件足夠靈活能夠從多個源中獲取吊銷信息。該響應程序支持緩存NONCE和No-NONCE請求。
配置OCSP和使用吊銷的演示
部署在線響應程序包含三個步驟:安裝在線響應程序服務,准備環境和配置在線響應程序。部署在線響應程序應該在部署CA之後,在部署終端實體證書之前。我們安裝OCSP在第一個演示的計算機上,因此我們將檢查部署過程的剩余步驟。作為安裝過程的一部分,一個名稱為OCSP 的虛擬目錄在IIS中被創建,用作Web Proxy的ISAPI擴展被注冊。您能夠手動注冊或不注冊Web Proxy。因為Web Proxy 注冊發生在OCSP安裝的時候,我們能夠使用下面的命令來不注冊它,如圖29所示。
Certutil -vocsproot delete
我們能夠使用Certutil -vocsproot命令來注冊它。如圖30所示。
CA必須配置為包含響應程序的URL作為頒發證書的權威信息訪問(AIA)擴展的一部分。該URL被OCSP客戶端用來驗證證書的狀態。如圖31所示。
我們將選擇AIA擴展然後增加一個用戶能夠從那裡獲得該CA的證書的位置。如圖32所示。
該位置可以是任何有效的URL或路徑。它能夠是一個HTTP、LDAP、文件地址、UNC或本地路徑。我們將輸入在線響應程序的完整URL。如圖33所示。當安裝在線響應程序的時候,IIS中使用的缺省虛擬目錄是OCSP。我們將在在線證書狀態協議(OCSP)擴展中包含這個位置。為了讓該更改生效活動目錄證書服務必須被重新啟動。如圖34所示。在線響應程序能夠使用頒發的CA密鑰或委派的簽名密鑰來簽名OCSP的響應。委派的簽名證書是:短期的,建議的有效期為兩個星期。它包含了Id-pkix-ocsp-nocheck擴展,沒有CRL分發點或AIA擴展,並且包含id-kp-OCSPSigning擴展密鑰使用(EKU)。在 Windows Server 2003 和Windows Server 2008中,配置OCSP簽名模板是不同的。在Windows Server 2008中,引入了版本號為3的模板。新的模板版本允許高級加密支持,除了其他的增強以外。同樣在Windows Server 2008中,一個新的證書模板也被添加到活動目錄中可用的模板中。該模板名稱為OCSP Response Signing,它預配置有必須的擴展和前面列出的屬性,它的版本號為3。對模板或CA來說,不需要做任何修改。
證書模板的一個缺點是不能增加自定義的擴展。在Windows Server 2003中創建和配置OCSP簽名模板時會帶來一個問題,以及添加id-pkix-ocsp-nocheck擴展的能力。創建這個重復的模板將創建一個版本號為2的模板,它能夠被Windows Server 2003 CA 頒發,並且它將仍包含id-pkix-ocsp-nocheck擴展。接下來,有必要配置CA來允許自定義擴展被包含在證書請求中。
在我們修改CA注冊信息後,我們需要重啟CA服務。重啟完成後,現在CA已經可以頒發OCSP簽名證書了。如圖35所示。
如其他模板,Read、Enroll、AuthEnroll、 Write和 Full Control的注冊權限必須被配置。
我們將添加SEA-DC-01 計算機對象。
為了允許在線響應程序計算機注冊OCSP 應答簽名證書,選中訪問控制條目中的Read 和 Enroll選項。如圖36所示。對於增加的安全,在線響應程序服務運行在Network Service下。這意味著在缺省情況下,它不能訪問機器的私有密鑰,需要通過修改才允許在線響應程序訪問私有密鑰。包含在版本號為3的模板中的一個新功能,允許注冊客戶端配置機器密鑰的權限作為注冊過程的一部分,來允許運行為Network Service的服務的訪問。如圖37所示。該功能只能在Windows Vista 和 Windows Server 2008中使用。版本號為3的模板包含一個新特性它允許注冊客戶端自動修改私有密鑰權限來允許NETWORK SERVICE訪問。一旦模板被正確配置,需要配置CA來頒發該模板。
我們將在這個CA上啟用OCSP Response Signing 模板。如圖38所示。
在線響應程序管理工具被設計為具有很高的易使用性。不管在線響應程序是部署在單個機器、群集還是多個群集中,管理工具為在線響應程序部署提供了單點監視和配置。在缺省情況下管理工具被安裝在所有版本的Windows Server 2008上,它為管理在線響應程序提供所有必須的功能。
在線響應程序主頁節點提供了關於在線響應程序配置狀態的最高級別的信息,並允許配置所有的響應程序的屬性。
吊銷配置節點視圖允許增加、修改和刪除吊銷配置。
陣列配置節點視圖允許增加、監視和診斷在線響應程序陣列成員。
在線響應程序提供一套可配置的屬性,它們是所有的在線響應程序和應用到在線響應程序的服務操作。
在線響應程序Web Proxy緩存作為IIS加載的ISAPI擴展被部署。下面的配置設置被啟用:Web Proxy threads。該設置指定在線響應程序ISAPI擴展為處理請求將分配的線程的數量。如圖39所示。
緩存條目被允許。該緩存作為響應程序的ISAPI擴展的一部分部署,它只是內存中的緩存。推薦的緩存大小介於1,000 和 10,000 。最小的緩存條目允許是5。對於任何小於5的數字,在線響應程序將把它看作默認的5。小的緩存值將引起更多的緩存故障,並將導致響應程序的查找和簽名操作的高負載;大的緩存值將影響在線響應程序的內存使用。如果CA證書被用來簽名響應,內存中緩存條目的大小大約是200字節;如果委派的簽名者證書被用於簽名響應,內存中緩存條目的大小大約是2K字節。
為了遵守通用標准來加強證書頒發系統的安全性,同時提供一個安全的平台,某些特定的時間和配置設置被記錄到Windows 安全事件日志中。在線響應程序允許配置下面的審計事件,如圖40所示。
" 啟動/停止在線響應程序服務。每次啟動/停止ocspsvc.exe服務的事件將被記錄。
" 對在線響應程序配置的更改。所有在線響應程序配置的更改,包括審計設置更改,將被記錄在安全日志中。
" 對在線響應程序安全設置的更改。對在線響應程序服務請求和管理接口ACL的所有更改將被記錄在安全日志中。
" 提交給在線響應程序的請求。所有被在線響應程序服務處理的請求將被記錄在安全日志中。該選項在服務上創建了一個高負載,應該針對具體的環境做出評估。只有那些要求在線響應程序簽名操作的請求將生成和審計事件;對於前面緩存響應的請求將不會被記錄。
在線響應程序的安全設置包括兩個新的訪問控制實例,它們能夠被設置允許或拒絕用戶和服務訪問請求和管理接口、代理請求。如圖41所示。在線響應程序暴露一個請求接口,它允許在線響應程序Web Proxy組件提交證書狀態請求給在線響應程序服務。該接口不會被終端客戶端使用。
管理OCSP響應程序。在線響應程序暴露一個管理接口,它提供了執行管理任務的能力,象創建和管理吊銷配置,以及修改響應程序的全局設置。吊銷可以通過兩種方法來完成,要麼手動通過MMC要麼通過OCSP響應程序服務。
我們將從CA MMC 中吊銷一張證書。在CA樹下有一個已經頒發證書的文件夾。前面我們頒發的證書顯示在該文件夾。我們現在能夠手動吊銷該證書。這將強制我們重新注冊該證書。
在吊銷的時候我們將被詢問吊銷的原因。在該演示中,我們將持有該證書因此我們可以撤回吊銷。如圖42所示。如果一張證書使用其他的原因而非Hold被吊銷的話,那麼該證書的吊銷不能被撤回。
該證書已經被移動到吊銷證書文件夾中。從吊銷證書文件夾,我們能夠撤回該證書的吊銷。如圖43所示。在證書被吊銷的期間,客戶端不能加密或解密發送給和來自它的信息。我們仍可以查看證書的信息,如果需要的話。我們將撤回該證書的吊銷,將它返回到一個活動的狀態。