APP下载

实现证书自动信任机制

2017-11-23

网络安全和信息化 2017年5期
关键词:安全级别组策略右键

利用证书,可以实现加密和认证机制,可以有力的保护网络安全。要想使用证书,用户必须向CA证书颁发机构进行申请,才可以得到并安装证书。但是,要想让证书发挥作用,用户的计算机必须信任CA证书颁发机构。

例如,在域环境中,对于企业根CA来说,域中的所有主机都可以自动信任该企业根CA。但是,如果采用独立根CA,并由非域管理员等权限较低的用户安装在成员服务器,就需要用户手工下载CA根证书,之后导入到本机中的受信任的根证书颁发机构列表中。当然,对于外网上的独立根CA来说,用户的计算机也不会自动信任其根CA。其实,使用组策略就可以轻松解决上述根证书的信任问题。

信任内网中的独立根CA

在一些公司内网中,独立CA是安装在成员服务器上的,而且安装者并不具备访问活动目录域服务的权限。在域中的某台主机上访问“http://xxx.xxx.xxx.xxx/certsrv”地址,其中的“xxx.xxx.xxx.xxx”为独立根CA的主机地址,在证书申请页面中点击“下载CA证书、证书链或CRL”链接,在下一步页面中点击“下载CA证书链”链接,会得到名为“certnew.p7b”的文件,其中包含证书和证书路径信息。如果点击“下载CA证书”链接,会得到名为“certnew.cer”的文件,这仅仅是一个证书而不包含证书存储路径信息。

图1 导入受信任的根证书颁发机构

如果该机已经存储有CA根证书,可以在IE的Internet选项窗口中打开“内容”面板,点击“证书”按钮,在证书窗口中的“受信任的很证书颁发机构”面板中找到目标CA根证书,点击导出按钮,在向导界面中选择“DER编码二进制X.509”或“Base64编码二进制X.509”项,将得到后缀为“.cer”的证书。选择“加密消息语法标准-PKCS #7证书”项,可以得到后缀为“.p7b”的证书文件。在下一步窗口中输入证书的名称,将其导出即可。

在域控制器上打开组策略管理窗口,在左侧选择“组策略管理→林→域→具体的域名→Default Domain Policy”项,在右键菜单上点击“编辑”项,可以编辑整个域的缺省策略。当然,也可以选择其中OU,来对其进行编辑。在组策略编辑窗口左侧,选择“计算机配置→策略→Windows设置→安全设置→公钥策略→受信任的根证书颁发机构”项,在右键菜单上点击“导入”项,在向导界面(如图1)中点击浏览按钮,选择上述后缀为“.p7b”的文件,在下一步的证书存储窗口中选择“将所有的证书放入下列存储”项,点击浏览按钮,选择“受信任的证书颁发机构”项,之后点击完成按钮,完成证书的导入操作。

之后,在域中每台主机上分别执行“gpupdate /force”命令,来刷新组策略,或者执行重启操作,让其应用上述策略,获得所需的CA根证书。运行“mmc”命令,在控制台中点击菜单“文件→添加/删除管理单元”项,在左侧选择“证书”项,点击“添加”按钮,选择“计算机账户”项,在控制台左侧选择“受信任的根证书颁发机构→证书”项,可以看到导入的上述根CA证书。实际上,只要计算机信任了根CA证书颁发机构,该根CA下的所有子CA自然也在信任的范围之内。

信任外网上的独立根CA

对于Internet上的证书颁发机构来说,如果想让内网中的主机信任根CA的话,就需要创建证书信任列表,之后利用企业信任策略将该列表中的所有根CA证书发送给内网中的所有主机。这样,内外网中的所有主机就会自动对其产生信任。这里,以对名为“xxx.com Corporation Root CA”的独立根CA为例进行说明,假设其使用的是Windows的活动目录证书服务,按照上述方法,下载根CA证书,名称为“xxxcorp.p7b”。

图2 证书信任列表向导窗口

注意,因为证书信任列表必须经过签名处理,为了便于操作,还需要一个进行签名的证书。在域中登录到在Windows Server 2012域控上,打开IE的Internet选项窗口,在“安全”面板中点击“本地Intranet”项,在“该区域的安全级别”栏中拖动滑块,将安全级别设置为“低”状态。点击“站点”按钮,在弹出窗口中点击高级按钮,在“将该网站添加到区域”栏中输入“http://xxx.xxx.xxx.xxx”,点击添加按钮,将其添加到网站列表中。

该“xxx.xxx.xxx.xxx”为某企业根CA主机的地址。例如,可以是本域或某个信任域中的企业根CA主机等。在IE中访问“http://xxx.xxx.xxx.xxx/certsrv”, 在欢迎使用页面中点击“申请证书”链接,在申请一个证书页面中点击“高级证书申请”链接。在高级证书申请页面中点击“创建并向此CA提交一个申请”链接,在打开页面中的“证书模板”列表中选择“管理员”项,点击是按钮,在证书已颁发页面中点击“安装此证书”链接,来安装该证书。之后,在IE的Internet选项窗口的“安全”面板中的该区域的安全级别”栏中拖动滑块,将安全级别设置为“中”状态,恢复其默认设置。

在域控制器上打开组策略管理窗口,在左侧选择“组策略管理→林→域→具体的域名→Default Domain Policy”项,在右键菜单上点击“编辑”项,在组策略编辑窗口左侧选择“计算机配置→策略→Windows设置→安全设置→公钥策略→企业信任”项,在右键菜单上点击“新建→证书信任列表项”,在向导界面(如图2)中的证书信任列表窗口选择“服务器身份验证”项,点击下一步,在CTL中的证书窗口底部点击“从文件添加”按钮,选择上述“xxxcorp.p7b”证书文件。在下一步的签名证书窗口中点击“从存储区选择”按钮,选择上述申请到的用来对证书信息列表签名的证书。依次点击下一步按钮,在名称和描述窗口中输入易于记忆的名称,之后点击完成按钮,可以看到创建的企业信任策略。

之后,在域中每台主机上分别执行“gpupdate /force”命令,来刷新组策略,或者执行重启操作,让其应用上述策略,获得所需证书信任列表,使其自动信任外部的独立根CA(例如“xxx.com Corporation Root CA”等)。注意,对于使用证书信任列表信任的CA证书来说,不会出现在受信任的根证书颁发机构中。

猜你喜欢

安全级别组策略右键
基于Packet tracer防火墙的基本配置仿真实验的设计与实现
轻松整理Win10右键菜单
补齐设置短板 用好Microsoft Edge
自定义“开始”右键控制菜单
通过PowerShell获取组策略安全报告
如何完全卸载OneDrive
用右键菜单管理右键菜单
给Windows 10右键菜单做“手术”
Endogenous neurotrophin-3 promotes neuronal sprouting from dorsal root ganglia
数据库加密技术及其应用研究