Windows Server 2008 R2 及 Windows Server  2008 中的憑證路徑驗證設定,可讓您管理憑證路徑搜索的設定和網域中所有使用者的驗證。您可以使用群組原則,輕易地設定和管理這些憑證驗證設定。下列為這些設定可執行的一些工作:

  • 部署中繼憑證授權單位 (CA) 憑證。

  • 封鎖不受信任的憑證。

  • 管理用於程式碼簽署的憑證。

  • 設定憑證和憑證撤銷清單 (CRL) 的抓取設定。

憑證路徑驗證設定可在「群組原則」中的下列位置找到:電腦設定\Windows 設定\安全性設定\公開金鑰原則

當您在此位置上按兩下 [憑證路徑驗證設定] 時,可選取下列索引標籤來取得其他選項:

  • 存放區

  • 受信任的發行者

  • 網路抓取

  • 撤銷

下列程序說明如何設定憑證路徑驗證設定。緊接著程序之後的各個小節將說明每個區域中的設定。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理

設定網域的路徑驗證群組原則

  1. 在網域控制站上,按一下 [開始],指向 [系統管理工具],然後按一下 [群組原則管理]

  2. 在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中,按兩下 [群組原則物件]

  3. [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]

  4. 在 [群組原則管理主控台 (GPMC)] 中,依序移至 [電腦設定][Windows 設定][安全性設定],然後按一下 [公開金鑰原則]

  5. 按兩下 [憑證路徑驗證設定] 後,按一下 [存放區] 索引標籤。

  6. 選取 [定義這些原則設定] 核取方塊。

  7. 設定您需套用的選擇性設定。

  8. 當您完成變更時,可以選取不同的索引標籤來修改其他設定,或按一下 [確定] 以套用新的設定。

存放區索引標籤

某些組織會想防止網域中的使用者設定自己的受信任根憑證集,以及決定組織內可信任的根憑證。使用 [存放區] 索引標籤可達成此目的。

下列為 [存放區] 索引標籤中可用的選項:

  • 允許使用者信任的根 CA 用以驗證憑證。清除此核取方塊,可防止使用者決定驗證憑證時所使用的根 CA 憑證。雖然此選項可協助防止使用者信任和驗證來自不安全鏈結的憑證,但它也會導致應用程式失敗,或導致使用者忽略驗證憑證的根憑證信任。

  • 允許使用者信任對等信任憑證。清除此核取方塊,可防止使用者決定信任的對等憑證。雖然此選項有助於防止使用者信任來自不安全來源的憑證,但它也會導致應用程式失敗,或導致使用者忽略建立信任的憑證。您也可以選取可使用對等信任憑證的憑證目的,例如簽署或加密。

  • [用戶端電腦可信任的根 CA]。在本節中,您可以識別網域使用者可信任的特定根 CA:

    • [協力廠商根 CA 與企業根 CA]。藉由同時包含非 Microsoft 和企業根 CA,您可以擴大使用者可信任的根 CA 憑證範圍。

    • [僅企業根 CA]。藉由將信任限制為僅企業根 CA,您可以有效地將信任限制為由內部企業 CA 所簽發的憑證,以便從中獲取驗證資訊,並將憑證發行至 Active Directory 網域服務 (AD DS)。

  • [CA 也必須符合使用者主體名稱限制]。這些設定也會將信任限制為內部企業 CA。此外,使用者主體名稱限制可防止他們信任驗證相關憑證,這類憑證並不符合與使用者主體名稱相關的條件。

此外,某些組織在需要額外信任關係的狀況下,會需要識別並分送特定的信任根憑證,以符合業務所需。若要識別您想在網域中分送給用戶端的信任根憑證,請參閱使用原則發佈憑證

受信任的發行者索引標籤

有越來越多的軟體發行者及應用程式開發人員選擇使用軟體簽章,以確認其應用程式來自受信任的來源。不過,許多使用者並不了解或忽略與其所安裝之應用程式相關的簽署憑證。

在憑證路徑驗證原則之 [受信任的發行者] 索引標籤上的原則選項,可允許您控制決定信任發行者的人員。

  • 系統管理員和使用者

  • 僅系統管理員

  • 僅企業系統管理員

此外,此索引標籤上的原則選項允許您要求檢查受信任發行者憑證,已確定它們:

  • 尚未被撤銷

  • 具備有效的時間戳記

網路抓取索引標籤

必須定期更新憑證相關的資料 (例如 Microsoft 根憑證計劃中的憑證撤銷清單 (CRL) 和憑證),才能生效。不過,如果憑證撤銷資料和交互憑證的驗證檢查和抓取因所傳輸的資料比原本預期的還多而遭到中斷,則會產生問題。

網路抓取設定允許系統管理員:

  • 自動更新 Microsoft 根憑證計劃中的憑證。

  • 設定 CRL 和路徑驗證的抓取逾時值 (如果網路狀況不佳,則使用較大的預設值為佳)。

  • 路徑驗證期間,啟用簽發者憑證抓取。

  • 定義下載交互憑證的頻率。

撤銷索引標籤

為了支援撤銷檢查,Active Directory 憑證服務 (AD CS) 支援使用 CRL 和 Delta CRL,以及由線上回應所發佈的線上憑證狀態通訊協定 (OCSP) 回應。

路徑驗證群組原則設定允許系統管理員最佳化 CRL 和線上回應的使用,特別是針對極大的 CRL 或網路狀況效能降低的情況。

您可以使用下列設定:

  • [永遠喜好透過線上憑證狀態通訊協定 (OCSP) 回應的憑證撤銷清單 (CRL)]。一般而言,用戶端應該使用可用的最新撤銷資料,且不論其是否來自 CRL 或線上回應。如果選取此選項,來自線上回應的撤銷檢查將只會用於無法使用有效的 CRL 或 Delta CRL 時。

  • [允許 CRL 與 OCSP 回應的有效時間比其存留期更長]。通常不建議您允許 CRL 和 OCSP 回應在其有效期間以外生效。不過,當用戶端無法長時間連線 CRL 發佈點或線上回應的情況下,可能需要此選項。然而,使用 CRL 或 OCSP 回應之指定有效期間以外的時間長度,也可在此原則設定下設定。

其他參考資料

目錄