利用證書，可以實(shí)現(xiàn)加密和認(rèn)證機(jī)制，可以有力的保護(hù)網(wǎng)絡(luò)安全。要想使用證書，用戶必須向CA證書頒發(fā)機(jī)構(gòu)進(jìn)行申請(qǐng)，才可以得到并安裝證書。但是，要想讓證書發(fā)揮作用，用戶的計(jì)算機(jī)必須信任CA證書頒發(fā)機(jī)構(gòu)。

例如，在域環(huán)境中，對(duì)于企業(yè)根CA來說，域中的所有主機(jī)都可以自動(dòng)信任該企業(yè)根CA。但是，如果采用獨(dú)立根CA，并由非域管理員等權(quán)限較低的用戶安裝在成員服務(wù)器，就需要用戶手工下載CA根證書，之后導(dǎo)入到本機(jī)中的受信任的根證書頒發(fā)機(jī)構(gòu)列表中。當(dāng)然，對(duì)于外網(wǎng)上的獨(dú)立根CA來說，用戶的計(jì)算機(jī)也不會(huì)自動(dòng)信任其根CA。其實(shí)，使用組策略就可以輕松解決上述根證書的信任問題。

信任內(nèi)網(wǎng)中的獨(dú)立根CA

在一些公司內(nèi)網(wǎng)中，獨(dú)立CA是安裝在成員服務(wù)器上的，而且安裝者并不具備訪問活動(dòng)目錄域服務(wù)的權(quán)限。在域中的某臺(tái)主機(jī)上訪問“http://xxx.xxx.xxx.xxx/certsrv”地址，其中的“xxx.xxx.xxx.xxx”為獨(dú)立根CA的主機(jī)地址，在證書申請(qǐng)頁(yè)面中點(diǎn)擊“下載CA證書、證書鏈或CRL”鏈接，在下一步頁(yè)面中點(diǎn)擊“下載CA證書鏈”鏈接，會(huì)得到名為“certnew.p7b”的文件，其中包含證書和證書路徑信息。如果點(diǎn)擊“下載CA證書”鏈接，會(huì)得到名為“certnew.cer”的文件，這僅僅是一個(gè)證書而不包含證書存儲(chǔ)路徑信息。

圖1 導(dǎo)入受信任的根證書頒發(fā)機(jī)構(gòu)

如果該機(jī)已經(jīng)存儲(chǔ)有CA根證書，可以在IE的Internet選項(xiàng)窗口中打開“內(nèi)容”面板，點(diǎn)擊“證書”按鈕，在證書窗口中的“受信任的很證書頒發(fā)機(jī)構(gòu)”面板中找到目標(biāo)CA根證書，點(diǎn)擊導(dǎo)出按鈕，在向?qū)Ы缑嬷羞x擇“DER編碼二進(jìn)制X.509”或“Base64編碼二進(jìn)制X.509”項(xiàng)，將得到后綴為“.cer”的證書。選擇“加密消息語(yǔ)法標(biāo)準(zhǔn)-PKCS #7證書”項(xiàng)，可以得到后綴為“.p7b”的證書文件。在下一步窗口中輸入證書的名稱，將其導(dǎo)出即可。

在域控制器上打開組策略管理窗口，在左側(cè)選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項(xiàng)，在右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，可以編輯整個(gè)域的缺省策略。當(dāng)然，也可以選擇其中OU，來對(duì)其進(jìn)行編輯。在組策略編輯窗口左側(cè)，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→公鑰策略→受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)，在右鍵菜單上點(diǎn)擊“導(dǎo)入”項(xiàng)，在向?qū)Ы缑妫ㄈ鐖D1）中點(diǎn)擊瀏覽按鈕，選擇上述后綴為“.p7b”的文件，在下一步的證書存儲(chǔ)窗口中選擇“將所有的證書放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇“受信任的證書頒發(fā)機(jī)構(gòu)”項(xiàng)，之后點(diǎn)擊完成按鈕，完成證書的導(dǎo)入操作。

之后，在域中每臺(tái)主機(jī)上分別執(zhí)行“gpupdate /force”命令，來刷新組策略，或者執(zhí)行重啟操作，讓其應(yīng)用上述策略，獲得所需的CA根證書。運(yùn)行“mmc”命令，在控制臺(tái)中點(diǎn)擊菜單“文件→添加/刪除管理單元”項(xiàng)，在左側(cè)選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，在控制臺(tái)左側(cè)選擇“受信任的根證書頒發(fā)機(jī)構(gòu)→證書”項(xiàng)，可以看到導(dǎo)入的上述根CA證書。實(shí)際上，只要計(jì)算機(jī)信任了根CA證書頒發(fā)機(jī)構(gòu)，該根CA下的所有子CA自然也在信任的范圍之內(nèi)。

信任外網(wǎng)上的獨(dú)立根CA

對(duì)于Internet上的證書頒發(fā)機(jī)構(gòu)來說，如果想讓內(nèi)網(wǎng)中的主機(jī)信任根CA的話，就需要?jiǎng)?chuàng)建證書信任列表，之后利用企業(yè)信任策略將該列表中的所有根CA證書發(fā)送給內(nèi)網(wǎng)中的所有主機(jī)。這樣，內(nèi)外網(wǎng)中的所有主機(jī)就會(huì)自動(dòng)對(duì)其產(chǎn)生信任。這里，以對(duì)名為“xxx.com Corporation Root CA”的獨(dú)立根CA為例進(jìn)行說明，假設(shè)其使用的是Windows的活動(dòng)目錄證書服務(wù)，按照上述方法，下載根CA證書，名稱為“xxxcorp.p7b”。

圖2 證書信任列表向?qū)Т翱?/p>

注意，因?yàn)樽C書信任列表必須經(jīng)過簽名處理，為了便于操作，還需要一個(gè)進(jìn)行簽名的證書。在域中登錄到在Windows Server 2012域控上，打開IE的Internet選項(xiàng)窗口，在“安全”面板中點(diǎn)擊“本地Intranet”項(xiàng)，在“該區(qū)域的安全級(jí)別”欄中拖動(dòng)滑塊，將安全級(jí)別設(shè)置為“低”狀態(tài)。點(diǎn)擊“站點(diǎn)”按鈕，在彈出窗口中點(diǎn)擊高級(jí)按鈕，在“將該網(wǎng)站添加到區(qū)域”欄中輸入“http://xxx.xxx.xxx.xxx”，點(diǎn)擊添加按鈕，將其添加到網(wǎng)站列表中。

該“xxx.xxx.xxx.xxx”為某企業(yè)根CA主機(jī)的地址。例如，可以是本域或某個(gè)信任域中的企業(yè)根CA主機(jī)等。在IE中訪問“http://xxx.xxx.xxx.xxx/certsrv”， 在歡迎使用頁(yè)面中點(diǎn)擊“申請(qǐng)證書”鏈接，在申請(qǐng)一個(gè)證書頁(yè)面中點(diǎn)擊“高級(jí)證書申請(qǐng)”鏈接。在高級(jí)證書申請(qǐng)頁(yè)面中點(diǎn)擊“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”鏈接，在打開頁(yè)面中的“證書模板”列表中選擇“管理員”項(xiàng)，點(diǎn)擊是按鈕，在證書已頒發(fā)頁(yè)面中點(diǎn)擊“安裝此證書”鏈接，來安裝該證書。之后，在IE的Internet選項(xiàng)窗口的“安全”面板中的該區(qū)域的安全級(jí)別”欄中拖動(dòng)滑塊，將安全級(jí)別設(shè)置為“中”狀態(tài)，恢復(fù)其默認(rèn)設(shè)置。

在域控制器上打開組策略管理窗口，在左側(cè)選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項(xiàng)，在右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯窗口左側(cè)選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→公鑰策略→企業(yè)信任”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建→證書信任列表項(xiàng)”，在向?qū)Ы缑妫ㄈ鐖D2）中的證書信任列表窗口選擇“服務(wù)器身份驗(yàn)證”項(xiàng)，點(diǎn)擊下一步，在CTL中的證書窗口底部點(diǎn)擊“從文件添加”按鈕，選擇上述“xxxcorp.p7b”證書文件。在下一步的簽名證書窗口中點(diǎn)擊“從存儲(chǔ)區(qū)選擇”按鈕，選擇上述申請(qǐng)到的用來對(duì)證書信息列表簽名的證書。依次點(diǎn)擊下一步按鈕，在名稱和描述窗口中輸入易于記憶的名稱，之后點(diǎn)擊完成按鈕，可以看到創(chuàng)建的企業(yè)信任策略。

之后，在域中每臺(tái)主機(jī)上分別執(zhí)行“gpupdate /force”命令，來刷新組策略，或者執(zhí)行重啟操作，讓其應(yīng)用上述策略，獲得所需證書信任列表，使其自動(dòng)信任外部的獨(dú)立根CA（例如“xxx.com Corporation Root CA”等）。注意，對(duì)于使用證書信任列表信任的CA證書來說，不會(huì)出現(xiàn)在受信任的根證書頒發(fā)機(jī)構(gòu)中。