当前位置：清风网络学院 → 网络技术 → 网络安全 → 使用Windows的安全802.11网络企业部署一


	精品推荐


特别推荐


热点TOP10

·网站安全：单引号导致的网站崩溃 L-blog入侵实录

·FoxMail和OICQ泄密

使用Windows的安全802.11网络企业部署一

日期：2007年10月19日作者：查看:[大字体中字体小字体]

　　
　　离线的颁发 CA（使用 Windows Server 2003 或 Windows 2000 证书服务作为企业 CA）
　　
　　这种 CA 层次结构提供了灵活性，杜绝了恶意用户危害根 CA 私钥的企图。离线的根和中级 CA 不必是 Windows Server 2003 或 Windows 2000 CA。颁发 CA 可以是某个第三方中级 CA 的从属 CA。
　　
　　备份 CA 数据库、CA 证书和 CA 密钥对于防止关键数据丢失是非常必要的。应该根据相同时间段内颁发的证书数量定期（每天、每周、每月）对 CA 进行备份。颁发的证书越多，对 CA 的备份就应该越频繁。
　　
　　您应该仔细阅读 Windows 中关于安全权限和访问控制的概念，因为企业 CA 根据证书申请者的安全权限来颁发证书。
　　
　　此外，如果想要利用计算机证书自动注册，请使用 Windows 2000 或 Windows Server 2003 证书服务，并在颁发者 CA 级创建企业 CA。如果想要利用用户证书自动注册，请使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 证书服务，并在颁发者 CA 级创建企业 CA。
　　
　　有关更多信息，请参见 Windows 2000 Server“帮助”标题为“清单：为 intranet 部署证书颁发机构和 PKI”，或 Windows Server 2003“帮助和支持中心”中标题为“清单：创建带离线的根证书颁发机构的证书层次结构”的主题。
　　
　　有关 PKI 和 Windows 2000 证书服务的附加信息，包括部署指导和最佳实践，请参见“Windows 2000 Security Services”网站，地址为： http://www.microsoft.com/windows2000/technologies/security/default.asp. 有关 Windows Server 2003 安全服务的附加信息，请参见“Windows Server 2003 Security Services”网站，地址为： http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.
　　
　　默认情况下，IAS 服务器在 EAP-TLS 身份验证过程中检查无线客户端发送的证书链中的所有证书的证书吊销情况。如果该证书链中的任何证书的证书吊销失败，连接尝试将不会通过身份验证，从而被拒绝。针对证书的证书吊销检查失败可能是因为以下原因：
　　
　　该证书已经被吊销。
　　
　　证书的颁发者已经明确吊销该证书。
　　
　　该证书的证书吊销列表 (CRL) 无法获得或不可用。
　　
　　CA 维护 CRL 并将它们发布到特定的 CRL 分发点。 CRL 分发点包括在证书的“CRL 分发点”(CRL Distribution Points) 属性中。如果无法联系 CRL 分发点以检查证书吊销情况，那么证书吊销检查就会失败。
　　
　　此外，如果证书中没有 CRL 分发点，IAS 服务器就不能检验证书是否已经被吊销，证书吊销检查就会失败。
　　
　　CRL 的发布者没有颁发该证书。
　　
　　CRL 中包括的是发布 CA。如果 CRL 的发布 CA 和正在接受吊销情况检查的证书的颁发 CA 不匹配，那么证书吊销检查就会失败。
　　
　　CRL 已过期
　　
　　每个已发布的 CRL 有不同的有效期。如果 CRL 下一次更新日期已过期，该 CRL 就被认为是无效的，证书吊销检查就会失败。新的 CRL 应该在上次发布的 CRL 过期之前发布。
　　
　　IAS 服务器的证书吊销检查行为可以使用注册表设置来修改。有关更多信息，请参见文章“Troubleshooting Windows XP IEEE 802.11 Wireless Access”，地址为： http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx.
　　
　　由于证书吊销检查可能由于证书链中每个证书的 CRL 不可用或过期而阻止无线访问，所以要为 CRL 的高可用性而设计您的 PKI。例如，为证书层次结构中的每个 CA 配置多个 CRL 分发点，同时配置能够确保最新的 CRL 始终可用的发布计划。
　　
　　证书吊销检查仅准确到上次发布的 CRL。例如，如果某个证书被吊销，默认情况下，包含新近吊销的证书的 CRL 不会自动发布。 CRL 通常根据可配置的计划来发布。这意味着已吊销的证书仍然可用于身份验证，因为已发布的 CRL 不是最新的；它没有包含这个已撤销的证书，因此该证书仍然可用于创建无线连接。为了防止这种情况发生，网络管理员必须手动发布具有新近吊销的证书的新 CRL。
　　
　　默认情况下，IAS 服务器使用证书中的 CRL 分发点。. 然而，也可以在 IAS 服务器上存储 CRL 的一个本地拷贝。在这种情况下，本地 CRL 将在证书吊销检查期间使用。如果手动将新的 CRL 发布到 Active Directory，IAS 服务器上的本地 CRL 不会得到更新。本地 CRL 将在它过期时被更新。这样可能导致如下情形，即其中的某个证书已被吊销，CRL 被手动发布，但是 IAS 服务器仍然允许连接，因为本地 CRL 还没有得到更新。
　　

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页

上一篇:使用Windows的安全802.11网络企业部署二

下一篇:没有硝烟的战争：网络禁用与突破限制二

·请问网络路由器的接口种类有哪些？

·Windows Vista震撼1600X1200高清壁纸

·为什么iexplore.exe在打开网页时CPU使用会100%？

·注册表已经损坏并导致WindowsXP无法启动,应该如何恢复

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot