没有合适的资源?快使用搜索试试~ 我知道了~
AD RMS服务安装与配置.
5星 · 超过95%的资源 需积分: 10 25 下载量 12 浏览量
2010-04-11
18:03:32
上传
评论 1
收藏 1.13MB DOC 举报
温馨提示
试读
58页
AD RMS服务安装与配置.AD RMS服务安装与配置.AD RMS服务安装与配置.AD RMS服务安装与配置.
资源推荐
资源详情
资源评论
第 17 章AD RMS 服务
文件安全是网络领域中最重要的课题之一,安全的威胁通常来自 Internet
和局域网内部两个方面。“日防夜防,家贼难防”。来自企业内部的攻击往往是
最致命的,微软公司的 RMS(Rights Management Services,权限管理服
务)正是在这种环境下应运而生的。它通过数字证书和用户身份验证技术对各
种 Oce 文档的访问权限加以限制,可以有效防止内部用户通过各种途径擅自
泄露机密文档内容,从而确保了数据文件访问的安全性。
17.1 AD RMS 概述
对于 RMS,很多用户并不陌生,并且可能已经应用到实际环境中。AD
RMS 是在 RMS 基础上进行了一些改进,功能更加强大。通过与 Active
Directory 及其联合身份验证等服务的配合应用,不仅仍然具备原有的针对
Oce 文档的各种权限保护,而且新增了通过 MMC 控制台管理 AD RMS 的
功能,应用更加方便。
†† 17.1.1 AD RMS 的新特性
AD RMS 与 RMS 相比具有如下新特性。
(1)管理界面更加友好:在 RMS 1.0 中唯一的管理界面就是 Web,而
AD RMS 则改用 MMC 嵌入式管理单元,操作更加方便。
(2)自动启用服务器授权凭证:在 AD RMS 中,根群集的服务器授权凭
证(Server Licensor Certicate,SLC)可以自动启用,无须手动操作。
(3)与 Active Directory 联合身份验证服务(AD FS)配合使用:AD
FS 是 Windows Server 2008 的一项新功能,可以提供简单且安全的身份验
证。AD RMS 与 AD FS 配合使用,可以允许企业之间共同使用一方的 AD
RMS 群集,并且通过 AD FS(使用 HTTPS 协议)识别和验证自己域中的用户
账户。
†† 17.1.2 AD RMS 的相关组件
AD RMS 仍然基于服务器/客户端的结构,其主要组件包括支持 AD RMS
的应用程序、AD RMS 客户端和 AD RMS 服务器端三,三者缺一不可。只有支
持 AD RMS 的应用程序才能生成被保护的文档;AD RMS 客户端是安装在客户
端上,与支持 AD RMS 的应用程序交互;AD RMS 服务器负责为信任实体颁发
证书、授权服务器,并为使用 AD RMS 保护的文档授权。
使用权限账户证书可以将用户账户和具体的一台设备关联起来,即每个不
同的账户在同一台计算机上存在唯一的权限证书,或同一账户在不同的计算机
上的权限证书也不相同。虽然在不同用户的权限账户证书不同,但是其中所包
含的密钥却是相同的。该权限账户证书是由企业中的第 1 台 AD RMS 服务器所
颁发的,即在任何计算机上的用户的密钥对相同,当用户向 AD RMS 许可服务
器请求许可时需要使用权限账户证书。
权限账户证书的生成过程如下。
(1)当用户第 1 次使用由 AD RMS 加密的文档时,需要以域用户的身份
向 AD RMS 证书服务器发送请求来获取权限账户证书。
(2)服务器会在服务器数据库中所存的信息查询,如果该用户已经存在密
钥对,则会应用已有的密钥;否则会为该用户生成一个密钥对。
(3)服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。
(4)服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。
(5)权限账户证书会被 AD RMS 服务器用私钥进行数字签署,这样就能
确定该权限账户证书由 AD RMS 证书服务器所发放的,并且未被篡改。
(6)AD RMS 服务器将权限账户证书发送给用户。
(7)服务器将用户的密钥对存储到 AD RMS 的数据库中,该权限账户证
书就是以后该用户进行申请各种使用许可的证书。
†† 17.1.3 AD RMS 的实现原理
1.服务的发现
服务的发现实际上是 RMS 客户端发现 AD RMS 服务器的一个过程,该过
程可以通过两种方法来实现,一是通过活动目录中的服务连接点(SCP),找
到企业中的证书服务器的位置;二是通过注册表。
找到 AD RMS 服务可以激活 RMS 客户端,因为如果要使用该 RMS 客户端,
则必须在第 1 次使用时到 AD RMS 服务器激活该 RMS 客户端,可以从 AD
RMS 服务器上获取权限管理账户证书等信息。
2.文档的在线发布过程
由 RMS 客户端在线向授权服务器发送请求,发布过程如下。
(1)由密码箱生成对称密钥作为内容密钥。
(2)内容密钥会被授权服务器的公钥加密,目的是通过网络将其发送给授
权服务器。然后授权服务器能够用自己的私钥将这个内容解出,而在传送的过
程中不会被他人截获后获取内容密钥。
(3)加密的内容密钥和权限被发送给请求发布许可的授权服务器。
(4)授权服务器使用其私钥解开加密的内容密钥。
(5)授权服务器使用其公钥加密内容密钥和使用权限。
(6)加密后的密钥和使用权限被添加到发布许可中。
(7)授权服务器使用私钥签署发布许可。
(8)发布许可返回给申请的客户端。
(9)支持 AD RMS 的应用程序将发布许可合并到受保护的文档中。
3.文档的离线发布过程
如果用户所使用的是笔记本电脑等移动办公等的计算机设备,有可能在自
己的家中不能够连接到公司的 AD RMS 服务器。为访问使用由 AD RMS 创建
的文档,需要一个客户端许可证书(CLC)。保护过程如下:
(1)由密码箱生成对称密钥作为内容密钥。
(2)客户端从客户端许可证书中取出授权服务器的公钥。
(3)客户端使用服务器的公钥加密内容密钥,加密的内容密钥只能由服务
器的私钥所解密。
(4)客户端使用客户端许可证书的公钥对内容密钥再进行一次加密,从而
再次获得一个加密后的对称密钥。需要注意的是,在离线和在线发布不同是离
线发布过程中对内容进行了两次加密。
(5)两个加密后的对称密钥同时被放到发布许可中。
(6)客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。
(7)客户端使用 CLC 的私钥签署发布许可。
(8)支持 AD RMS 的应用程序将发布许可合到受保护的文档中。
4.受保护文档的使用过程
使用受保护文档的具体过程如下。
(1)客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权
服务器。
(2)授权服务器使用其私钥解出发布许可中的内容密钥。
(3)授权服务器使用权限账户证书中用户的公钥加密内容密钥。
(4)把加密的内容密钥和用户的使用权限添加到使用许可中。
(5)授权服务器使用其私钥签署使用许可。
(6)作为响应,将该使用许可发送给客户端。
(7)密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。
(8)密码箱使用用户的私钥解密内容密钥。
(9)密码箱使用内容密钥解密被加密的受保护内容。
提示
使用服务器的公钥所加密的内容只能由服务器的私钥来解开。
†† 17.1.4 AD RMS 服务器的软件需求
AD RMS 服务器的软件需求如下。
(1)必须是域控制器、额外的域控制器或域成员服务器。
(2)安装 IIS 服务和 ASP.Net 组件。
(3)安装 MSMQ(消息队列)服务。
(4)如果要创建 AD RMS 服务器群集,需要安装 SQL Server 数据库服
务器或 MSDE 数据库(建议选择 SQL Server);否则可以直接使用 AD RMS
自带的本地数据库。
AD RMS 服务器软件需要提前安装的 Windows 组件,在安装过程中
可以自动安装,用户不必一一手动准备。
17.2 AD RMS 服务器的安装和配置
Windows Server 2008 中的 AD RMS 与 RMS 最大的区别就在于,它不
再是一个独立服务插件,已经成为 Windows 的一项内建功能,并且包含了某
些升级功能。无须下载任何安装包,直接在管理服务器窗口中启动安装向导即
可轻松安装。
†† 17.2.1 准备工作
为了确保安装过程可以顺利进行,开始之前应做好如下准备工作:
(1)将计算机加入到域,或者提升为域的辅助域控制器,或者子域。
(2)使用具有域用户账户登录,但不能使用 Administrator 账户登录。
(3)选择数据库。如果要使用独立数据库,需安装 SQL Server;否则可
使用 AD RMS 的自带数据库。
(4)安装之前,确认 http://uddi.microsoft.com 和 https://
uddi.microsoft.com 在 Internet Explorer 中被添加至“受信任的站点”或“本
地 Internet”。
†† 17.2.2 安装 AD RMS 根服务器
AD RMS 服务并不是 Windows Server 2008 系统默认安装的组件,需要
用户手动添加。安装向导如果检测到有完成的准备工作,显示提示信息并给出
解决方案,通常情况下可以自动完成必要组件的安装。
剩余57页未读,继续阅读
资源评论
- wangxujun592015-03-21感谢分享,很有帮助
- lieshall20082013-12-25感谢分享,很有帮助
qq174834502
- 粉丝: 3
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功