您可以使用以角色為基礎的管理將憑證授權單位 (CA) 系統管理員組織為個別、預先定義的 CA 角色,而每個角色都有各自的工作集。角色是使用每個使用者的安全性設定來指派。您可以指派角色給使用者,方法是將與角色相關聯的特定安全性設定指派給該使用者。具有某種權限的使用者,例如「管理 CA」權限,可以執行特定 CA 工作,這是具有其他類型權限 (例如「發行及管理憑證」權限) 的使用者所無法執行的工作。
下表描述的角色、使用者及群組可以用於實作以角色為基礎的管理。若要指派角色給使用者或群組,您必須指派角色的對應安全性權限、群組成員資格,或使用者權限給使用者或群組。這些安全性權限、群組成員資格及使用者權限是用來分辨哪些使用者有哪些角色。
| 角色和群組 | 安全性權限 | 描述 |
|---|---|---|
|
CA 系統管理員 |
管理 CA |
設定及維護 CA。這是 CA 角色並包含指派其他所有 CA 角色及更新 CA 憑證的能力。這些權限是使用「憑證授權單位」嵌入式管理單元指派。 |
|
憑證管理員 |
發行及管理憑證 |
核准憑證註冊及撤銷要求。這是 CA 角色。此角色有時候是指 CA 核證者。這些權限是使用「憑證授權單位」嵌入式管理單元指派。 |
|
備份操作員 |
備份檔案和目錄 還原檔案和目錄 |
執行系統備份及復原。備份是作業系統功能。 |
|
稽核員 |
管理稽核及安全性記錄檔 |
設定、檢視及維護稽核記錄。稽核是作業系統功能。稽核員是作業系統角色。 |
|
註冊者 |
讀取 註冊 |
註冊者是有權向 CA 要求憑證的用戶端。這不是 CA 角色。 |
所有 CA 角色是由本機 Administrators、Enterprise Admins 或 Domain Admins 的成員所指派及修改。在企業 CA 上,本機系統管理員、企業系統管理員及網域系統管理員都是預設的 CA 系統管理員。在獨立 CA 上只有本機系統管理員是預設的 CA 系統管理員。如果獨立 CA 是安裝在已加入 Active Directory 網域的伺服器上,網域系統管理員也是 CA 系統管理員。
可以將 CA 系統管理員和憑證管理員角色指派給本機電腦之安全性帳戶管理員 (SAM) (這是本機安全性帳戶資料庫) 中的 Active Directory 使用者或本機使用者。最好的作法是您應將角色指派給群組帳戶,而不是個別的使用者帳戶。
只有 CA 系統管理員、憑證管理員、稽核員及備份操作員是 CA 角色。表格中描述的其他使用者與以角色為基礎的管理有關連,您應於指派 CA 角色前加以了解。
只有 CA 系統管理員和憑證管理員是使用「憑證授權單位」嵌入式管理單元指派。若要變更使用者或群組的權限,您必須變更使用者的安全性權限、群組成員資格或使用者權限。
 | 設定 CA 的 CA 系統管理員和憑證管理員安全性權限 |
開啟 [憑證授權單位] 嵌入式管理單元。
在主控台樹狀目錄中,按一下 CA 的名稱。
在 [執行] 功能表,按一下 [內容]。
按一下 [安全性] 索引標籤,然後指定安全性權限。
角色和活動
每個 CA 角色都有相關聯的特定 CA 管理工作清單。下表列出所有 CA 管理工作以及執行工作的角色。
| 活動 | CA 系統管理員 | 憑證管理員 | 稽核員 | 備份操作員 | 本機系統管理員 | 附註 |
|---|---|---|---|---|---|---|
|
安裝 CA |
|
|
|
|
X |
|
|
設定原則及結束模組 |
X |
|
|
|
|
|
|
停止和啟動 Active Directory 憑證服務 (AD CS) 服務 |
X |
|
|
|
|
|
|
設定延伸 |
X |
|
|
|
|
|
|
設定角色 |
X |
|
|
|
|
|
|
更新 CA 金鑰 |
|
|
|
|
X |
|
|
定義金鑰修復代理 |
X |
|
|
|
|
|
|
設定憑證管理員限制 |
X |
|
|
|
|
|
|
刪除 CA 資料庫中的單一列 |
X |
|
|
|
|
|
|
刪除 CA 資料庫中的多個列 (大量刪除) |
X |
X |
|
|
|
使用者必須同時是 CA 系統管理員和憑證管理員。強制角色分離時無法執行此活動。 |
|
啟用角色分離 |
|
|
|
|
X |
|
|
發行及核准憑證 |
|
X |
|
|
|
|
|
拒絕憑證 |
|
X |
|
|
|
|
|
撤銷憑證 |
|
X |
|
|
|
|
|
重新啟動已保留的憑證 |
|
X |
|
|
|
|
|
更新憑證 |
|
X |
|
|
|
|
|
啟用、發佈或設定憑證撤銷清單 (CRL) 排程 |
X |
|
|
|
|
|
|
復原備份金鑰 |
|
X |
|
|
|
只有憑證管理員可以從 CA 資料庫擷取加密的金鑰資料結構。需要有效金鑰修復代理的私密金鑰,才能解密金鑰資料結構並產生 PKCS #12 檔案。 |
|
設定稽核參數 |
|
|
X |
|
|
依據預設,本機系統管理員保有系統稽核使用者權限。 |
|
稽核記錄 |
|
|
X |
|
|
依據預設,本機系統管理員保有系統稽核使用者權限。 |
|
備份系統 |
|
|
|
X |
|
依據預設,本機系統管理員保有系統備份使用者權限。 |
|
還原系統 |
|
|
|
X |
|
依據預設,本機系統管理員保有系統備份使用者權限。 |
|
讀取 CA 資料庫 |
X |
X |
X |
X |
|
依據預設,本機系統管理員保有系統稽核及系統備份使用者權限。 |
|
讀取 CA 組態資訊 |
X |
X |
X |
X |
|
依據預設,本機系統管理員保有系統稽核及系統備份使用者權限。 |
其他考量
-
允許註冊者讀取 CA 內容和 CRL,並且可以要求憑證。在企業 CA 上,使用者必須具有憑證範本的「讀取」及「註冊」權限才能要求憑證。CA 系統管理員、憑證管理員、稽核員及備份操作員都具有隱含的「讀取」權限。
-
稽核員保有系統稽核使用者權限。
-
備份操作員保有系統備份使用者權限。此外,備份操作員能夠啟動和停止 Active Directory 憑證服務 (AD CS) 服務。
指派角色
CA 的 CA 系統管理員會將以角色為基礎之管理的個別角色指派給使用者,方法是將角色所需的安全性設定套用到使用者的帳戶。CA 系統管理員可以指派給使用者一個以上的角色,但是當每個使用者只指派一個角色時 CA 更加安全。使用此委派策略時,如果使用者的帳戶洩漏,遭到洩漏的 CA 工作較少。
系統管理員考量
獨立 CA 的預設安裝設定是讓本機 Administrators 群組的成員做為 CA 系統管理員。企業 CA 的預設安裝設定是讓本機 Administrators、Enterprise Admins 及 Domain Admins 群組的成員做為 CA 系統管理員。若要限制這些帳戶的權力,應在指派所有 CA 角色後從 CA 系統管理員和憑證管理員角色中移除。
最好的作法是,已指派 CA 系統管理員或憑證管理員角色的群組帳戶不得為本機 Administrators 安全性群組的成員。同時,CA 角色只應指派給群組帳戶,而不是個別的使用者帳戶。
 | 附註 |
|
需有 CA 上本機 Administrators 群組的成員資格,才能更新 CA 憑證。此群組的成員可以取得其他所有 CA 角色的管理授權。 |