可使用基于角色的管理将证书颁发机构 (CA) 管理员组织到单独的预定义 CA 角色中,每个角色都有其各自的任务集。使用每个用户的安全设置指定角色。通过为用户指定与角色相关联的特定安全设置,可将此角色指定给该用户。具备一种类型的权限(如“管理 CA”权限)的用户可执行具备另一种类型的权限(如“颁发和管理证书”权限)的用户无法执行的特定 CA 任务。

下表描述了可用于实现基于角色的管理的角色、用户和组。若要为用户或组指定角色,必须为该用户或组指定该角色的相应安全权限、组成员身份或用户权限。这些安全权限、组成员身份和用户权限用于区分哪些用户具备哪些角色。

角色和组 安全权限 描述

CA 管理员

管理 CA

配置和维护 CA。此为 CA 角色,包括指定所有其他 CA 角色并续订 CA 证书的能力。使用“证书颁发机构”管理单元指定这些权限。

证书管理员

颁发和管理证书

批准证书注册和吊销请求。此为 CA 角色。此角色有时称为 CA 官员。使用“证书颁发机构”管理单元指定这些权限。

备份操作员

备份文件和目录

还原文件和目录

执行系统备份和恢复。备份是一项操作系统功能。

审核员

管理审核和安全日志

配置、查看和维护审核日志。审核是一项操作系统功能。审核员是一个操作系统角色。

注册人

读取

注册

注册人是经授权可从 CA 申请证书的客户。这不是 CA 角色。

所有 CA 角色都是由本地管理员企业管理员域管理员的成员指定并修改。在企业 CA 中,本地管理员、企业管理员和域管理员在默认情况下都是 CA 管理员。默认情况下,在独立的 CA 中,只有本地管理员是 CA 管理员。如果在加入 Active Directory 域的服务器上安装了独立的 CA,则域管理员也是 CA 管理员。

可将 CA 管理员和证书管理员角色指定给本地计算机的安全帐户管理器 (SAM) 中的 Active Directory 用户或本地用户,SAM 是本地安全帐户数据库。作为最佳实践,应为组帐户指定角色,而不是为各个用户帐户指定角色。

只有 CA 管理员、证书管理员、审核员以及备份操作员是 CA 角色。表中描述的其他用户与基于角色的管理有关,指定 CA 角色之前应对这些用户加以了解。

只有 CA 管理员和证书管理员是使用“证书颁发机构”管理单元来指定。若要更改用户或组的权限,必须更改用户的安全权限、组成员身份或用户权限。

为 CA 设置 CA 管理员和证书管理员安全权限的步骤
  1. 打开“证书颁发机构”管理单元。

  2. 在控制台树中,单击 CA 的名称。

  3. “操作”菜单上,单击“属性”

  4. 单击“安全”选项卡,并指定安全权限。

角色和活动

每个 CA 角色都有一个与其关联的 CA 管理任务的特定列表。下表列出了所有 CA 管理任务以及执行这些任务时采用的角色。

活动 CA 管理员 证书管理员 审核员 备份操作员 本地管理员 注意

安装 CA

 

 

 

 

X

 

配置策略并退出模块

X

 

 

 

 

 

停止和启动“Active Directory 证书服务 (AD CS)”服务

X

 

 

 

 

 

配置扩展

X

 

 

 

 

 

配置角色

X

 

 

 

 

 

续订 CA 密钥

 

 

 

 

X

 

定义密钥恢复代理

X

 

 

 

 

 

配置证书管理员限制

X

 

 

 

 

 

删除 CA 数据库中的单独行

X

 

 

 

 

 

删除 CA 数据库中的多行(批量删除)

X

X

 

 

 

该用户必须是 CA 管理员和证书管理员。强制执行角色分隔时,无法执行此活动。

启用角色分隔

 

 

 

 

X

 

颁发和批准证书

 

X

 

 

 

 

拒绝证书

 

X

 

 

 

 

吊销证书

 

X

 

 

 

 

重新激活持有的证书

 

X

 

 

 

 

续订证书

 

X

 

 

 

 

启用、发布或配置证书吊销列表 (CRL) 计划

X

 

 

 

 

 

恢复已存档的密钥

 

X

 

 

 

只有证书管理员才能从 CA 数据库中检索已加密的密钥数据结构。若要对密钥数据结构进行解密并生成 PKCS #12 文件,需要使用有效密钥恢复代理的私钥。

配置审核参数

 

 

X

 

 

默认情况下,本地管理员拥有系统审核用户权限。

审核日志

 

 

X

 

 

默认情况下,本地管理员拥有系统审核用户权限。

备份系统

 

 

 

X

 

默认情况下,本地管理员拥有系统备份用户权限。

还原系统

 

 

 

X

 

默认情况下,本地管理员拥有系统备份用户权限。

读取 CA 数据库

X

X

X

X

 

默认情况下,本地管理员拥有系统审核系统备份用户权限。

读取 CA 配置信息

X

X

X

X

 

默认情况下,本地管理员拥有系统审核系统备份用户权限。

其他注意事项

  • 允许注册人读取 CA 属性和 CRL,并且可以申请证书。在企业 CA 中,用户必须对证书模板具有读取和注册权限才能申请证书。CA 管理员、证书管理员、审核员以及备份操作员具有隐式读取权限。

  • 审核员拥有系统审核用户权限。

  • 备份操作员拥有系统备份用户权限。此外,备份操作员还可启动和停止“Active Directory 证书服务 (AD CS)”服务。

指定角色

CA 的 CA 管理员通过将角色所需的安全设置应用到用户的帐户,将用户指定给基于角色管理的单独角色。CA 管理员可将一个用户指定给多个角色,但将每个用户指定给唯一一个角色时,CA 更为安全。使用此委派策略时,如果泄露用户帐户,则会泄露较少的 CA 任务。

管理员需关注的问题

独立 CA 的默认安装设置会使本地管理员组的成员成为 CA 管理员。企业 CA 的默认安装设置会使本地管理员Enterprise AdminsDomain Admins 组的成员成为 CA 管理员。若要限制这些帐户中任何一个帐户的权限,应在指定所有 CA 角色时从 CA 管理员和证书管理员角色中删除这些帐户。

作为最佳做法,已为其分配 CA 管理员或证书管理员角色的组帐户不应成为本地管理员组的成员。而且,只应将 CA 角色指定给组帐户,而不是各个用户帐户。

注意

若要续订 CA 证书,需要使用 CA 上本地管理员组的成员身份。此组的成员可承担所有其他 CA 角色上的管理权限。