您的位置: 网界网 > 周报全文 > 正文

[周报全文]证书状态,你更新了吗?——CoreStreet实时证书系统测试报告

2004年09月13日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:证书状态,你更新了吗?——CoreStreet实时证书系统测试报告

标签

    证书状态,你更新了吗?

    ——CoreStreet实时证书系统测试报告

    如果不能方便地检查证书的状态,部署数字证书系统又有什么意义呢?而这正是CoreStreet的实时证书(RTC:Real Time Credentials)发挥作用的地方。该系统使用OCSP(Online Certificate Status Protocol),可以实时地更新证书的状态,使系统资源免受过时证书持有者的侵扰。不久前,美国《Network World》对该系统进行了测试。

    我们有必要先了解一下关于数字证书的一些背景知识。

    所有的应用要实现安全性,都必不可少地要回答这两个问题:

    1. 你是所宣称的那个人吗?

    认证(authentication)解决此问题。可以使用现存的多种技术实现认证,比如:“身份证”、生物识别技术和数字证书。

    2. 证实了你的身份,但你目前的行为是在允许范围内吗?

    这个问题的解决叫确认(validation)。事实上,很多时候某人拥有证书并能通过认证,但实际上他应该被禁止某些行为。比如某位工程师已经离职,但他仍拥有“身份证”,而公司的认证系统还未更新,那么他仍可能获取某些以前可以获取的资源。所谓确认,指的是某个“身份证”是否还继续有效。CRL分发是一种比较传统的确认方法。

    CRL 证书吊销清单(Certification Revocation List)

    CRL用来列出已经过期或废除的数字证书。它每隔一段时间就会更新,因此必须定期下载该清单,才会取得最新信息。 由于CRL的更新模式,导致使用者必须随时更新,而这也可能会出现安全漏洞。比如上面的例子,如果该公司在每天晚上确认证书,那么在早晨离职的员工在白天这段空档时间内仍可使用公司资源。而且,通常CRL会比较大,不仅增加了网络负担,也不便于查找某个证书的状态。

    针对CRL的不足而产生的解决办法是OCSP。

    在线证书状态协议(OCSP )

    可以提供给使用者一个或多个数字证书的有效性资料,它建立一个可实时响应的机制,让用户可以实时确认每一张证书的有效性,解决由CRL引发的安全问题。

    如何测试

    测试时使用一台HP Proliant ML330服务器(配置2.8GHz至强处理器,1GB内存,操作系统为Windows 2003企业版)作为确认授权(VA)服务器。使用一台装有OpenSSL 的Linux主机(操作系统为在VMWare中安装的Fedora Core 1)作为CA(Certificate Authority)服务器,并安装了相关的开源软件,如OpenLDAP进行证书分发,而CRL的分发通过Apache 2.0.49完成,另外,它还用来构建基于SSL(安全套接层)的Web服务器。

    为了验证RTC应答器是否像厂商所宣称的那样仅占用少量系统资源,测试者使用一台CPU为700 MHz、装有Windows XP的Toshiba笔记本进行测试,客户机的操作系统为两种:Fedora Core 1和Windows XP,在这两种平台上测试使用的浏览器分别为Mozilla和Internet Explorer。并将微软的SQL Server和CoreStreet的被测产品捆绑在一起存储证书。

    测试者为Apache服务器配置好SSL,然后使用浏览器访问这台Web服务器。CA共生成了一个根证书和10000个用户证书。并宣告其中的某些证书无效,而其他的证书期满。

    测试评价

    CoreStreet的RTC系统由确认授权(VA,Validation Authority)和应答器(Responder)组成。它通过由分布式的OCSP应答器提供证书状态。OCSP应答器不保存敏感的密码信息,可以安全地分布在公司的不同位置,且占用系统资源非常少。一个中心RTC VA从CA那里获取CRL和所有数字证书的清单,用来生成校验或预先构造出OCSP应答。然后,RTC应答器使用HTTP从RTC VA将这些信息取回,用来应答用户应用(如浏览器)发出的OCSP证书状态查询。然后,应用程序利用OCSP应答来确定证书的有效性。

    RTC VA和每个应答器都能通过基于Web的图形界面进行管理。RTC VA还具有命令行接口,不过经测试(+微信关注网络世界),发现它不够完整。每个RTC组件都有错误日志,但是产品没有提供将这些内部日志与外部的日志管理系统集成的能力。

    若要使用RTC的服务,设备必须支持SSL、802.1x、IPSec或其他应用了数字证书的协议,然后把它配置成需要检查证书的状态。直接支持OCSP的应用目前还不算多。包括CoreStreet在内的几家厂商可以为IE、IIS(Internet Information Server)和Windows添加基于OCSP的状态检查功能。Mozilla就支持OCSP,而未来版本的Windows也将支持OCSP。

    测试者在两个Windows主机上安装了RTC VA和应答器。其文档只提供了部分安装指导。缺省配置使用某个非标准端口号,因此必须重新配置它才能与多数CA集成。CoreStreet的OCSP实现与标准所要求的并不完全一致,它假设了CA和客户端OCSP请求的工作方式。

    RTC VA 的Web管理界面缺省配置下不支持SSL连接,其文档中也没有说明如何改变配置来支持SSL。(注:据CoreStreet的负责人说,测试之后,他们加入了有关SSL配置的文档。)应答器的缺省配置使用SSL,但它使用自签发证书,并且要求管理工作站的浏览器上配置客户端证书。

    RTC VA使用了基于角色的管理模型。它的安装过程要求经常改变角色:从管理员(执行数据库升级)到Officer(管理证书)再到审计员(检查CA的状态)。

    在测试者设置的环境中,需要检查Web服务器证书的状态。由OpenSSL构建的CA颁发给Web服务器的证书中包含RTC应答器的URL。当浏览器下载该证书的同时,也就得到了RTC应答器的地址,浏览器将查询证书状态的OCSP请求发送给应答器。

    厂商声称,RTC应答器仅消耗少量的资源。事实也证明厂商此言不虚。不管是使用有效的证书还是试图使用吊销证书,产品都如预期的那样工作。

    CoreStreet宣称,其RTC VA/应答器系统解决了当生成OCSP应答时的低性能问题。在测试10000个证书的实例中,该软件生成所有可能的应答耗时11秒。

    过去,OCSP一直没有得到广泛支持,现在,它被内置到大多数商用和开源CA内。CoreStreet RTC可以作为产品内置OCSP功能的替代选择。另一方面,如果你需要管理大量证书的话,它是一个非常必要的补充。

RTC VA/应答器总体评价:3.45
项目平分
安全特性(30%)4
管理/易用性(30%)3
文档(20%)3
安装(10%)4
标准一致性(10%)3.5
平分:5:优异 4:非常好 3:一般 2:低于平均水平 1:很差
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]