用于证书管理的强大新工具

概览:
  • ILM-CM 体系结构
  • 管理和模板
  • 创建工作流

这是工作中平静的一天,突然,您接到咨询台支持团队的电话,告知您的生产系统上的一个证书已过期。现在系统已停机,在续订证书之前,贵公司会一直损失生产力(和金钱)。

如果您负责管理公钥基础结构 (PKI) 环境,相信您一定会为证书的意外过期而感到惊讶。而平静的日子,现在也成了一个梦想。

当 Microsoft 在 Windows® 2000 和 Windows Server® 2003 中添加了 PKI 服务之后,各公司实施自己的内部 PKI 环境便是一种成本低廉的好方法。遗憾的是,Microsoft® PKI 服务无法管理所生成的证书的生命周期。然而,Microsoft 最近获得一款证书管理产品,随后发布了 Identity Lifecycle Manager (ILM),该软件结合了证书管理以及 Microsoft® Identity Integration Server (MIIS) 的身份置备和控制功能。本文将论述 ILM 如何帮助您的组织管理证书和智能卡。


ILM-CM 体系结构

ILM Certificate Management (ILM-CM) 体系结构的核心是 ILM-CM 服务器及其相关组件(请参阅图 1)。ILM-CM 服务器可安装在设置为与一个或多个证书颁发机构 (CA) 对接的单一服务器上。ILM-CM 需要 SQL Server™,后者存储了用于管理证书环境的证书信息、策略及其他相关数据。为了管理用户和安全权限,ILM-CM 服务器还需要 Active Directory®。请参阅图 2,以了解所需的组件和版本。

图 1 ILM-CM 体系结构
图 1 ILM-CM 体系结构

完全安装 ILM-CM 环境后,所有的证书请求会与 ILM-CM 服务器进行通信。ILM-CM 服务器负责将证书相关的所有信息存储到 SQL Server 数据库,该数据库可用于进一步的证书报告、警报及维护工作流环境。

ILM-CM 软件体系结构主要由ILM-CM 服务器、CA 插件和客户端组件三个高级组件组成。该服务器软件可在 CA 或主要用于 ILM-CM 的服务器上安装和运行。然后,ILM-CM 服务器再与 CA、SQL Server 数据库及 Active Directory 进行通信。该服务器还提供了一个 Web 门户,供证书管理器用于配置证书策略和工作流,证书订阅者则用它来请求和续订软件证书。

为使 CA 与 ILM-CM 服务器通信,必须在您要管理的每个 CA 上安装并配置 ILM-CM 策略和退出模块。这两个模块用来将证书信息记录到数据库中。当 CA 发行证书时,退出模块负责将该信息发送到 ILM-CM 服务器,然后 ILM-CM 服务器再进一步将证书信息记录到数据库中。

如果您计划管理您所处环境中的智能卡,则需要安装 ILM-CM 智能卡客户端软件。在必须与 ILM-CM 服务器交互的所有客户端计算机上,都需要该软件。


ILM-CM 安装

安装 ILM-CM 服务器实际上非常简单 — 向导会引导您逐步完成该过程。但是,在实际运行向导之前,您需要注意一些预安装功能。

ILM-CM 首先需要的是 Active Directory 和一个 ILM-CM 架构扩展。该架构扩展添加了一些额外的 Microsoft .NET Framework 安全属性,而这些属性正是 ILM-CM 实施配置文件模板所需的。

您还需要安装 .NET Framework 2.0,而且还必须要有先前提到的组件 — SQL Server、CA 和 SMTP 服务器。如果要在不同于 CA 的单独一台服务器上安装 ILM-CM,则您必须在 CA 上安装 ILM-CM 模块,这可通过在 CA 上运行 ILM-CM 安装向导来完成。安装完成后,通过将浏览器指向 http://hostname/CLM,您便能够连接 ILM-CM 门户。

若要启用证书过期/续订通知,您需要在 ILM-CM 服务器上配置 ILM-CM 服务。首先,请在 Active Directory 中创建适当的帐户。进入 ILM-CM 服务,将该帐户添加为登录帐户。然后使用组策略,将该用户添加到 ILM-CM 服务器内的本地管理员和 IIS_WPG 组,以及“Act as part of Operating System, Generate security Audits, and Replace a process level token”(作为操作系统的一部分,生成安全审查,并替换进程级令牌)。设置 ILM-CM 服务之后,ILM-CM 服务器便能够扫描 SQL Server 数据库中的过期证书,并向证书所有者或管理器发送电子邮件通知。


ILM-CM 管理

ILM-CM 通过 Web 界面来管理,该界面划分为与用户、证书及智能卡管理任务相关的若干功能区。使用适当的管理特权连接到 ILM-CM 门户时,该门户会显示用于管理 ILM-CM 环境的多个管理任务(请参阅图 3)。“常规任务”部分提供了管理选项,包括为一套新证书或智能卡注册用户。您还可以管理和批准请求。

图 3 ILM-CM 管理门户任务
图 3 ILM-CM 管理门户任务 (单击该图像获得较小视图)
图 3 ILM-CM 管理门户任务
图 3 ILM-CM 管理门户任务 (单击该图像获得较大视图)

如果您需要查找用户或证书,请使用“管理用户和证书”任务区。这些任务让您能够查找、恢复、吊销或续订证书。另外,您还可以查找吊销列表。

如果您的组织使用智能卡,则“管理用户智能卡”部分可为您提供便利。例如,如果用户锁定了自己的卡,则证书管理器可以在此解除该卡的锁定。您还可以在本地读卡器中搜索和查看智能卡。

界面的“请求”区域允许证书管理器查看和批准用户证书请求。例如,您可以查看未决状态请求中包含的所有证书。“管理”区域可让您创建和管理配置文件模板。最后,正如您所料,“报告”区域用于开发和创建与用户及证书相关的报告。

当对 ILM-CM 门户进行身份验证时,如果您的帐户没有管理权限,则会出现一个订阅者页面,为证书用户提供自助管理功能(请参阅图 4)。通过此门户,用户可依据其具体策略配置,查看和管理其证书和智能卡。常规任务的示例包括请求证书或智能卡、查看现有证书及更改智能卡 PIN。

图 4 订阅者&13;&10;用户门户页&13;&10;自我管理
图 4 订阅者用户门户页自我管理 (单击该图像获得较小视图)
图 4 订阅者&13;&10;用户门户页&13;&10;自我管理
图 4 订阅者用户门户页自我管理 (单击该图像获得较大视图)

为发行、续订、替换和吊销证书或智能卡提供高质量、委派的工作流进程,这在任何组织中都是一个难题。而使用 ILM-CM,您现在能够委派这些任务,从而提供更高的安全保障。假设您有个用户忘记了其智能卡 PIN。使用委派工作流模式,该用户可致电咨询台支持电话,支持人员便会询问他一些验证问题。如果问题回答正确,则支持人员会为该用户将智能卡解锁。委派工作流的另一个示例是:如果发生意外删除或便携式计算机丢失事件,它能够恢复用户的加密文件系统 (EFS) 证书。


配置文件模板

配置文件模板是基础组件,可为 ILM-CM 启用完整的工作流管理过程。配置文件模板被认为是包含一个或多个证书模板的单一管理对象。配置文件模板是为管理工作流进程在证书环境中的运作方式而创建并配置的。配置文件模板的关键方面在于它能够包含多个证书模板,这些模板可作为单个项目来管理,这意味着,用户可由一个能够追踪记录证书整个生命周期过程的模板来管理。

配置文件模板可配置为将证书存储在计算机(基于软件)或智能卡(基于硬件)上。您可通过从 ILM-CM 管理门户复制一个样本来创建这些模板。在配置文件模板内,您可定义若干不同的管理策略组件(请参阅图 5)。

图 5 配置文件模板
图 5 配置文件模板 (单击该图像获得较小视图)
图 5 配置文件模板
图 5 配置文件模板 (单击该图像获得较大视图)

许多策略组件均适用于软件和智能卡配置文件(请参阅图 6),其中某些组件需要特别说明。在证书注册过程中,您可使用注册策略组件来定义有关您希望注册过程如何进行的特定条件。例如,您可以设置数据收集,这意味着用户需要输入诸如部门代码、电子邮件地址和管理器等信息。您还可以创建用户注册证书后便自动打印正式文档的定义。

在线更新策略会对您的组织非常有用。它类似于续订策略,不同的是,它可以更新证书内容、证书模板、智能卡上的小程序,还可以在证书将要过期时更新证书本身。要全面使用此策略,您必须启用 ILM-CM 服务和 web.config 文件,以允许访问 Active Directory 中的多值属性。此外,您还需要在客户端计算机上安装在线更新服务。

如果贵公司使用 EFS 加密,则代表恢复策略将为您提供便利。假设某人意外删除了他的加密证书,您可使用此策略组件来设置咨询台安全团队请求用户私钥的工作流。然后,通过接收包含由 ILM-CM 服务器生成的密码的电子邮件,该用户可重新获得私钥。最后,该用户可进入 ILM-CM 服务器上的一个秘密 Web 链接,使用其相关私钥来重新获得证书。在员工离开公司,但因存档、法规或其他目的而需要恢复其数据时,代表恢复策略也会特别有用。

为提供更安全的续订过程,续订策略允许您设置加密密钥用户续订证书时所需的一次性密码和通过电子邮件发送该密码。如果您吊销了证书,之后要将其复效并从证书吊销列表 (CRL) 中删除,您可以使用复效策略定义该工作流进程。

恢复策略和吊销策略是两个独特的策略组件,它们只与软件证书策略关联,而与智能卡无关。如果存储在计算机上的用户证书被删除,或者计算机本身被重建或被盗,则恢复策略可定义还原证书或密钥(如果在 CA 上存档)的过程。管理员可使用吊销策略设置静态吊销原因,或允许执行吊销请求的人员在吊销时指定原因。

此外,还有五个专门用于智能卡配置文件模板的管理策略,如图 7 所示。

您可为退废策略定义若干不同操作,如擦除智能卡上的用户数据、锁定用户和管理 PIN,以及重设管理 PIN。如果用户忘记了自己的 PIN,或新卡已附带由 ILM-CM 分配的 PIN,则通常会使用解锁策略。然后,该用户会请求为智能卡解锁。

对于任何管理产品而言,报告都是一项非常有用的功能。捕获您的证书或智能卡环境的快照这一功能对于任何组织来说都非常重要。ILM-CM 带有若干内置报告,包括智能卡清单、请求摘要、证书使用和过期以及许多其他内容。对于其他报告系统,如果您需要其他报告,则可以编写自定义查询,因为所有数据都存储在 SQL Server 数据库中。


开发工作流

现在让我们看一下 ILM-CM 如何帮助定义高效的工作流进程。假设您有若干系统管理员负责管理和维护其系统的 SSL 证书。要问的第一个问题是:该过程的关键方面是什么?

根据系统类型,该过程可能需要不同的方法来创建证书请求文件。因此,首要的任务就是开发一个 Intranet 页面,详细说明如何创建所有系统的证书请求。

管理员创建请求文件后,便可以将它提交到 ILM-CM 用户门户进行证书审批。使用 ILM-CM 工作流进程,管理员可以定义若干需要确认和批准证书请求的审批者。证书经批准后,用户便可从 ILM-CM 取回证书。由于 ILM-CM 将证书信息放在 SQL Server 数据库中,因此管理员能够检索历史信息。

一年之后,当证书快要过期时,ILM-CM 会向请求者发送电子邮件通知,告知其证书即将过期,必须立即续订。恰当处理此工作流进程有助于防止证书意外过期,避免给您带来麻烦。


总结

如果贵公司使用 Microsoft PKI 环境,ILM-CM 可以帮助您管理该环境。ILM-CM 可使组织改进安全身份验证过程,并降低数字证书和智能卡管理的成本与复杂性。同时,ILM-CM 还是开发证书和智能卡工作流进程的基础,而这正是目前许多公司所缺乏的。

Microsoft 还实现了对 ILM-CM 的外部 API 支持。如果贵组织使用自定义应用程序,您可以对接这些应用程序,以便充分利用 ILM-CM API 支持。

有关 ILM-CM 的详细信息,请参阅 microsoft.com/technet/clm。同时还提供了快速入门指南 (go.microsoft.com/fwlink/?LinkId=87336)。

posted on 2008-05-09 16:24 李喆 阅读(270) 评论(0)  编辑 收藏 引用

只有注册用户登录后才能发表评论。
<2024年12月>
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234

导航

统计

常用链接

留言簿(2)

随笔分类

随笔档案

文章分类

搜索

最新评论

阅读排行榜

评论排行榜