Windows 2000 Server的集成
把证书服务器集成到Exchange 2000中
前面已经提到,要在公共Exchange 2000环境中使用KMS,必须加载企业证书服务器。检查一下系统管理员CA对象的特性(在MMC证书权图标那里),或在命令行运行Certsrv工具,使用-z选项,确认企业证书服务器已经安装。图1显示了Certsrv工具的输出。
需要注意的是,CA为每个登录到高级安全的用户发行了2个证书。
在Windows 2000企业版和在Exchange Server 5.5上,把KMS连接到CA政策模块之间的根本区别是:Exchange 2000 KMS-CA可以比Exchange 2000发行更多的证书。在Exchange Server 5.5中装上Exchange Server的政策模块后,系统管理员便可以发行任何其他类型的证书。
Windows 2000在AD中能够发行企业CA。浏览AD的任何客户都可以访问公共的、集成了AD的企业CA服务器的位置信息。对于Exchange 2000 KMS而言,将KMS指向一个固定的证书服务器(在Exchange Server 5.5中就是这么做的)并非必需。如果KMS-CA发生故障,则KMS会自动质询AD,并寻找另一个容错CA,这种灵活的特性省去了在KMS-CA之间跳转的复杂过程。
在一些重要功能方面,Windows 2000证书服务器功能与早期的Windows NT版本相比有很大的提高。比如比较重要的提高有构造多级CA结构的能力,据悉,微软已宣布它可以支持40级以上的结构。此外,系统管理员还可以把一个CA服务器连接到多个KMS服务器上。同时,Windows 2000还提供增强的与其他CA结构集成的功能,即系统管理员的Windows 2000 CA可以是另一个非微软的厂商CA的下属(尽管KMS-CA必须运行微软CA软件)。由此可见,能力的增强可改进互通性。
把目录与AD集成
Exchange 2000的一个根本改变是目录和AD的集成。微软统一了Exchange 2000目录对象和Windows 2000目录对象,比如邮箱成为具有邮箱功能的用户对象,用户容器成为具有有邮件功能的联系对象,分布式表(DL)成为有邮件功能的分布式组。这种统一给管理带来非常明显的方便,它可以使系统管理员在同一界面上对用户安全和与邮件相关的特性进行设置。操作方法如下。
打开MMC的用户和计算机图标,双击任何用户对象,查看它的特性(包括Exchange特性设置),如图2所示。系统管理员所管理的新界面允许用户以高级安全方式登录,还允许废除用户证书,恢复用户的私人加密密钥。
从Exchange Server 5.5d的SP1开始,高级安全支持证书信任表(CTL)的定义。CTL可以使系统管理员在2个没有结构关系的CA之间设置基于证书的安全互通关系。Windows 2000通过信任根部证书权(Trusted Root Certification Authorities,TRCA)和企业信任组政策对象(Group Policy Object,GPO)入口实现CTL。
GPO是Windows 2000为计算机集中管理提供的新特性。它包含了许多Windows 2000的CA证书,高级安全自动把内部CA加到系统管理员内部客户根部的CA存储区。企业信任GPO入口包含了所信任的外部CA证书,但Windows 2000管理员只能手工地加上这些证书。通过GPO设置透明且自动的应用,信任CA的证书会被自动下载到Windows 2000证书存储区。但Outlook 2000仍然从AD获得CTL。KMS在KM服务器从相应的GPO-CTL入口创建这个CTL,并且为AD生成CTL。据称,微软将在未来的Outlook版本上全面支持GPO-CTL的设置。
CTL前景如何呢?新的KMS仍然会在KMS数据库(kmsdir.edb)中维持它的CTL,并为AD生成CTL(KMS需要CTL来发布废除了的X.509 Version 1证书,让使用Outlook 98及以前版本的客户得到CTL)。同时,Windows 2000的KMS-CA会向AD和CA Web目录发布它的CTL。此外,Windows 2000企业证书服务器发布的Exchange服务器高级安全X.509 Version 3证书合并了Windows 2000的自动CTL检查变化。这样,每个证书都包含了CTL分布点的指针。
CDP具备一个重要的特点,即当软件确认一份证书时,软件可以根据证书的CDP定位合适的CTL。每个证书包含一个LDAP指针,它指向AD中的CTL,还包含一个HTTP指针,指向CA Web中的CTL。为了发挥CDP的优势,系统管理员需要一个像包含在IE 5.0中的Outlook Express 5.0或Outlook 2000这样的电子邮件客户。
为了让Outlook 2000支持CDP,系统管理员必须在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Cryptography\{7801ebd0-cf4b-11d0-851f-0060979387ea}”注册键,并增加PolicyFlags注册变量,将其值设为0x00010000。另外,还有一个有用的Windows 2000 CA特性,它让系统管理员在MMC证书权图标的废除证书容器特性栏中设置CTL发布间隔。
Exchange服务器5.5可以用一个别名标识每个对象。因为别名包含了用户邮箱的别名,系统管理员可以恢复用户的加密密钥(甚至当目录不再包含一个用户信箱的入口时)。如果CA创建了一个重名的信箱,相关的账户会继承老用户的关键历史。
在Windows 2000中,一个外部的惟一标识(GUID)标识着Windows 2000互联系统中的每一个目录对象。在Exchange 2000中,具有邮箱功能的用户对象可与一个GUID绑定,这样在删除用户时会同时删除GUID,但也可以重新启用被删除的GUID。于是,系统管理员可以找回删除了的用户对象密钥和证书。
管好您的KMS
要管理KMS,系统管理员可以使用MMS的Exchange系统管理图标,或者启动高级安全作为单独的图标,还可以从MMS的“用户”和计算机控制面板上登录单独的用户。
口令记忆功能把管理口令暂存在系统内存中,当系统管理员每次进入KMS管理界面打开对话框时,不用重新输入口令。在Exchange 2000中,微软从高级安全的管理界面里取消了口令记忆功能。由于入侵者可以从内存中窃取口令,所以可以说采用口令记忆技术有一定的危险性。正因如此,Exchange 2000在管理界面中增加了一组批量执行功能(这里系统管理员只需输入一次管理口令即可),它们是登录、删除、恢复、批量输出和批量输入。Exchange 5.5仅支持批量登录。除此之外,微软还在MMC的Exchange系统管理图标顶部增加了一个按钮,用来加速管理任务的执行。
系统管理员可以在3个不同层次(即管理组、服务器和单独的用户)执行批操作,如图3所示。Exchange Server 5.5仅在容器级支持批量登录。需要说明的是,Exchange 2000对Exchange Server 5.5的批量执行中的性能问题做了补救,比如当批量登录超过2000个信箱时,Exchange 2000对系统执行慢的问题有一定的补救措施。
在KMS数据库(kmsdir.edb)之间(即管理组之间)输入和输出用户的账户、密钥和证书历史,是Exchange 2000对于组织机动性能的重要增强。在Exchange Server 5.5中,用户不太可能随意地在站点之间移动。要实现移动,系统管理员必须使用微软的BackOffice Resource Kit Sectool工具批量解密所有用户的邮件,把用户邮箱移到其他站点,重新登录用户,最后用Sectool批量加密邮件。或者,系统管理员使用更复杂的一种办法,即当与邮箱保持连接时,把用户的密钥和证书(用户的KMS数据库入口)输出到一个.epf文件,然后在另一站点上把新的邮箱和输入的.epf文件连接到Outlook上。为了方便新的I/O进程,Exchange 2000提供了Exchange KMS密钥输出引导,如图4所示。引导使用CA证书保护输出─输入进程,系统管理员只可以运行一次输入进程(只在一个管理组上)。引导把输出和输入进程的结果注册到filename.exlog和filename.imlog中。这里有一个提醒大家注意的事项:输出引导不但输出用户的记录,同时也把它们从KMS数据库中删除。
Exchange 2000的KMS仍然支持重要KMS操作的“导弹发射井”(或多重口令)政策,这意味着执行特定的管理任务时,KMS需要验证多个管理信任证书。在Exchange 2000中,系统管理员可以为增加和删除管理账户、恢复和废除用户密钥改变对X.509版本1或版本3的支持,以及为输入输出用户账户时设置多重口令。需要注意的是,系统管理员在KMS级所使用的管理账户不同于正规的Windows 2000账户,Exchange 2000把KMS账户与相关的口令存放在KMS数据库中,默认的口令是password。
此外,微软增强了KMS备份。现在KMS数据库成了Windows 2000备份Exchange容器的一部分,它允许在线备份。系统管理员必须同时备份KMS和KMS-CA,以保证它们在证书撤回时保持同步。
KMS中用于问题释疑的原始信息被安置在Windows NT事件浏览应用的文件夹里。Exchange 2000扩展了注册入口的数量,在更新CTL或CTL以及用户计费等方面变得更加安全