利用 Windows Server 2008 R2 和 Windows Server 2008 中的证书路径验证设置,可以为域中的所有用户管理证书路径发现和验证的设置。可以使用组策略轻松配置和管理这些证书验证设置。以下是使用这些设置可以执行的一些任务:
-
部署中级证书颁发机构 (CA) 证书。
-
阻止不受信任的证书。
-
管理用于代码签名的证书。
-
配置证书和证书吊销列表 (CRL) 的检索设置。
从以下位置的组策略中可获得证书路径验证设置:“计算机配置”\“Windows 设置”\“安全设置”\“公钥策略”。
在此位置双击“证书路径验证设置”之后,选择下列选项卡可获得其他选项:
-
存储
-
受信任的发布者
-
网络检索
-
吊销
以下过程描述如何配置证书路径验证设置。以下部分将按过程描述每个区域中的设置。
Domain Admins 中的成员身份或等效身份是完成此步骤所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
配置域的路径验证组策略的步骤 |
在域控制器上,单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在组策略管理控制台 (GPMC) 中,依次转到“计算机配置”、“Windows 设置”、“安全设置”,然后单击“公钥策略”。
双击“证书路径验证设置”,然后单击“存储”选项卡。
选中“定义这些策略设置”复选框。
配置需要应用的可选设置。
完成更改后,可以选择不同选项卡修改其他设置,或单击“确定”以应用新设置。
“存储”选项卡
某些组织希望防止域中的用户配置其自己的一组受信任的根证书并决定可以信任组织中的哪些根证书。可以使用“存储”选项卡实现该操作。
“存储”选项卡上的可用选项如下:
-
“允许使用用户信任的根 CA 验证证书”。清除此复选框可阻止用户决定使用哪些根 CA 证书验证证书。虽然此选项有助于阻止用户信任和验证不安全证书链中的证书,但也可能导致应用程序出现故障或使用户忽视提供给他们用于验证证书的可信任根证书。
-
“允许用户信任对等信任证书”。清除该复选框可阻止用户决定信任哪些对等证书。虽然此选项有助于阻止用户信任不安全源中的证书,但也可能导致应用程序出现故障或使用户忽视建立信任的证书。也可以选择使用对等信任证书的证书目的,例如,签名或加密。
-
“客户端计算机可以信任的根 CA”。在此部分中,您可以标识域中用户可以信任的特定根 CA。
-
“第三方根 CA 和企业根 CA”。通过包括非 Microsoft 和企业根 CA,可以扩展用户可以信任的根 CA 证书的范围。
-
“仅企业根 CA”。通过将信任仅限于企业根 CA,可以有效地将信任限制在从 Active Directory 域服务 (AD DS) 获取身份验证信息或向其发布证书的内部企业 CA 颁发的证书上。
-
“第三方根 CA 和企业根 CA”。通过包括非 Microsoft 和企业根 CA,可以扩展用户可以信任的根 CA 证书的范围。
-
“CA 还必须与'用户主体名称'约束兼容”。这些设置还将信任限制在内部企业 CA。此外,如果身份验证相关的证书不符合与用户主体名相关的条件,则用户主体名限制将阻止用户信任该证书。
此外,某些组织可能需要标识并分发特定的受信任的根证书,以实现需要其他信任关系的业务方案。若要标识要分发到域中客户端的受信任根证书,请参阅使用策略分发证书。
“受信任的发布者”选项卡
越来越多的软件发行商和应用程序开发人员使用软件签名来证实其应用程序来自受信任的源。但是,许多用户不了解或忽略与其安装的应用程序关联的签名证书。
使用证书路径验证策略的“受信任的发布者”选项卡中的策略选项,可以控制谁可以决定受信任的发布者:
-
管理员和用户
-
仅管理员
-
仅企业管理员
此外,使用此选项卡上的策略选项,还可以要求检查受信任的发布者证书:
-
是否尚未吊销
-
是否具有有效的时间戳
“网络检索”选项卡
若要使与证书相关的数据,如 Microsoft 根证书程序中的证书吊销列表 (CRL) 和证书有效,必须及时进行更新。但是,如果因传输的数据多于原先预期的数据而导致证书吊销数据和交叉证书的验证检查和检索中断,则会出现问题。
使用网络检索设置,管理员可以进行以下操作:
-
自动更新 Microsoft 根证书程序中的证书。
-
配置 CRL 和路径验证的检索超时值(如果网络条件欠佳,则最好使用较大的默认值)。
-
在路径验证过程中启用颁发者证书检索。
-
定义下载交叉证书的频率。
“吊销”选项卡
为了支持吊销检查,Active Directory 证书服务 (AD CS) 支持使用 CRL 和增量 CRL 以及联机响应程序分发的联机证书状态协议 (OCSP) 响应。
使用路径验证组策略设置,管理员可以优化 CRL 和联机响应程序的使用,特别是在 CRL 非常大或网络条件降低性能的情况下。
可用设置如下:
-
“始终首选证书吊销列表(CRL)而非联机证书状态协议(OCSP)响应”。通常,客户端应该使用可用的最新吊销数据,不管它是来自 CRL 还是来自联机响应程序。如果选择此选项,则仅在有效 CRL 或增量 CRL 不可用时,才使用联机响应程序的吊销检查。
-
“允许 CRL 和 OCSP 响应的有效期比其寿命长”。通常建议不允许 CRL 和 OCSP 响应在其有效期结束之后继续有效。但是,如果客户端长时间无法连接到 CRL 分发点或联机响应程序,则可能需要此选项。但是,在此策略设置下还配置了在规定有效期之外可以使用 CRL 或 OCSP 响应的时间长度。