安装配置ADRMSWord格式.docx
- 文档编号:15941447
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:69
- 大小:3.13MB
安装配置ADRMSWord格式.docx
《安装配置ADRMSWord格式.docx》由会员分享,可在线阅读,更多相关《安装配置ADRMSWord格式.docx(69页珍藏版)》请在冰豆网上搜索。
在RMS1.0中唯一的管理界面就是Web,而ADRMS则改用MMC嵌入式管理单元,操作更加方便。
(2)自动启用服务器授权凭证:
在ADRMS中,根群集的服务器授权凭证(ServerLicensorCertificate,SLC)可以自动启用,无须手动操作。
(3)与ActiveDirectory联合身份验证服务(ADFS)配合使用:
ADFS是WindowsServer2008的一项新功能,可以提供简单且安全的身份验证。
ADRMS与ADFS配合使用,可以允许企业之间共同使用一方的ADRMS群集,并且通过ADFS(使用HTTPS协议)识别和验证自己域中的用户账户。
ADRMS的相关组件
ADRMS仍然基于服务器/客户端的结构,其主要组件包括支持ADRMS的应用程序、ADRMS客户端和ADRMS服务器端三,三者缺一不可。
只有支持ADRMS的应用程序才能生成被保护的文档;
ADRMS客户端是安装在客户端上,与支持ADRMS的应用程序交互;
ADRMS服务器负责为信任实体颁发证书、授权服务器,并为使用ADRMS保护的文档授权。
使用权限账户证书可以将用户账户和具体的一台设备关联起来,即每个不同的账户在同一台计算机上存在唯一的权限证书,或同一账户在不同的计算机上的权限证书也不相同。
虽然在不同用户的权限账户证书不同,但是其中所包含的密钥却是相同的。
该权限账户证书是由企业中的第1台ADRMS服务器所颁发的,即在任何计算机上的用户的密钥对相同,当用户向ADRMS许可服务器请求许可时需要使用权限账户证书。
权限账户证书的生成过程如下。
(1)当用户第1次使用由ADRMS加密的文档时,需要以域用户的身份向ADRMS证书服务器发送请求来获取权限账户证书。
(2)服务器会在服务器数据库中所存的信息查询,如果该用户已经存在密钥对,则会应用已有的密钥;
否则会为该用户生成一个密钥对。
(3)服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。
(4)服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。
(5)权限账户证书会被ADRMS服务器用私钥进行数字签署,这样就能确定该权限账户证书由ADRMS证书服务器所发放的,并且未被篡改。
(6)ADRMS服务器将权限账户证书发送给用户。
(7)服务器将用户的密钥对存储到ADRMS的数据库中,该权限账户证书就是以后该用户进行申请各种使用许可的证书。
ADRMS的实现原理
1.服务的发现
服务的发现实际上是RMS客户端发现ADRMS服务器的一个过程,该过程可以通过两种方法来实现,一是通过活动目录中的服务连接点(SCP),找到企业中的证书服务器的位置;
二是通过注册表。
找到ADRMS服务可以激活RMS客户端,因为如果要使用该RMS客户端,则必须在第1次使用时到ADRMS服务器激活该RMS客户端,可以从ADRMS服务器上获取权限管理账户证书等信息。
2.文档的在线发布过程
由RMS客户端在线向授权服务器发送请求,发布过程如下。
(1)由密码箱生成对称密钥作为内容密钥。
(2)内容密钥会被授权服务器的公钥加密,目的是通过网络将其发送给授权服务器。
然后授权服务器能够用自己的私钥将这个内容解出,而在传送的过程中不会被他人截获后获取内容密钥。
(3)加密的内容密钥和权限被发送给请求发布许可的授权服务器。
(4)授权服务器使用其私钥解开加密的内容密钥。
(5)授权服务器使用其公钥加密内容密钥和使用权限。
(6)加密后的密钥和使用权限被添加到发布许可中。
(7)授权服务器使用私钥签署发布许可。
(8)发布许可返回给申请的客户端。
(9)支持ADRMS的应用程序将发布许可合并到受保护的文档中。
3.文档的离线发布过程
如果用户所使用的是笔记本电脑等移动办公等的计算机设备,有可能在自己的家中不能够连接到公司的ADRMS服务器。
为访问使用由ADRMS创建的文档,需要一个客户端许可证书(CLC)。
保护过程如下:
(2)客户端从客户端许可证书中取出授权服务器的公钥。
(3)客户端使用服务器的公钥加密内容密钥,加密的内容密钥只能由服务器的私钥所解密。
(4)客户端使用客户端许可证书的公钥对内容密钥再进行一次加密,从而再次获得一个加密后的对称密钥。
需要注意的是,在离线和在线发布不同是离线发布过程中对内容进行了两次加密。
(5)两个加密后的对称密钥同时被放到发布许可中。
(6)客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。
(7)客户端使用CLC的私钥签署发布许可。
(8)支持ADRMS的应用程序将发布许可合到受保护的文档中。
4.受保护文档的使用过程
使用受保护文档的具体过程如下。
(1)客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。
(2)授权服务器使用其私钥解出发布许可中的内容密钥。
(3)授权服务器使用权限账户证书中用户的公钥加密内容密钥。
(4)把加密的内容密钥和用户的使用权限添加到使用许可中。
(5)授权服务器使用其私钥签署使用许可。
(6)作为响应,将该使用许可发送给客户端。
(7)密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。
(8)密码箱使用用户的私钥解密内容密钥。
(9)密码箱使用内容密钥解密被加密的受保护内容。
使用服务器的公钥所加密的内容只能由服务器的私钥来解开。
ADRMS服务器的软件需求
ADRMS服务器的软件需求如下。
(1)必须是域控制器、额外的域控制器或域成员服务器。
(2)安装IIS服务和ASP.Net组件。
(3)安装MSMQ(消息队列)服务。
(4)如果要创建ADRMS服务器群集,需要安装SQLServer数据库服务器或MSDE数据库(建议选择SQLServer);
否则可以直接使用ADRMS自带的本地数据库。
ADRMS服务器软件需要提前安装的Windows组件,在安装过程中可以自动安装,用户不必一一手动准备。
17.2
ADRMS服务器的安装和配置
WindowsServer2008中的ADRMS与RMS最大的区别就在于,它不再是一个独立服务插件,已经成为Windows的一项内建功能,并且包含了某些升级功能。
无须下载任何安装包,直接在管理服务器窗口中启动安装向导即可轻松安装。
17.2.1
准备工作
为了确保安装过程可以顺利进行,开始之前应做好如下准备工作:
(1)将计算机加入到域,或者提升为域的辅助域控制器,或者子域。
(2)使用具有域用户账户登录,但不能使用Administrator账户登录。
(3)选择数据库。
如果要使用独立数据库,需安装SQLServer;
否则可使用ADRMS的自带数据库。
(4)安装之前,确认和在InternetExplorer中被添加至"
受信任的站点"
或"
本地Internet"
17.2.2
安装ADRMS根服务器
(1)
ADRMS服务并不是WindowsServer2008系统默认安装的组件,需要用户手动添加。
安装向导如果检测到有完成的准备工作,显示提示信息并给出解决方案,通常情况下可以自动完成必要组件的安装。
使用具有域权限的用户账户登录。
运行"
添加角色向导"
在"
选择服务器角色"
对话框中,选中"
ActiveDirectoryRightsManagementServoces"
复选框,显示如图17-1所示对话框,提示是否添加所需的角色服务和功能。
(点击查看大图)图17-1
添加所需的角色服务和功能
单击"
添加必需的角色服务"
按钮,显示如图17-2所示的"
对话框,选中"
ActiveDirectoryRightsManagementServices"
复选框。
(点击查看大图)图17-2
"
对话框
不能使用Administrator用户账户登录;
否则就会显示如图17-3所示的警告框,提示无法安装。
(点击查看大图)图17-3
警告框
下一步"
按钮,显示如图17-4所示的"
对话框,其中简要介绍了ActiveDirectory权限管理服务的作用及功能。
按钮,显示如图17-5所示的"
选择角色服务"
对话框。
如果选中"
联合身份验证支持"
复选框,将同时安装ADFS或与当前域中已有的ADFS关联使用。
它允许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识,并提供对其他组织创建的受保护信息的访问权限。
不需要联合身份验证的用户建议不要选择该复选框。
(点击查看大图)图17-4
(点击查看大图)图17-5
安装ADRMS根服务器
(2)
按钮,显示如图17-6所示的"
创建或加入ADRMS群集"
对话框,系统默认选择"
新建ADRMS群集"
单选按钮。
由于当前域中没有其他ADRMS群集可供加入,所以"
加入现有ADRMS群集"
单选按钮为灰色。
安装完成后创建的第1台ADRMS服务器即为根群集,后来加入的ADRMS服务器为叶服务器。
(点击查看大图)图17-6
按钮,显示如图17-7所示的"
选择配置数据库"
如果网络中安装有SQLServer服务器,可选择"
使用其他数据库服务器"
单选按钮;
如果要使用ADRMS自带的数据库,选择"
在此服务器上使用Windows内部数据库"
单选按钮即可。
(点击查看大图)图17-7
选择支持ADRMS群集的专用数据库时应注意记录其数据库实例,其他ADRMS服务器加入群集时也必须指定相同的实例名称。
按钮,显示如图17-8所示的"
指定服务账户"
该服务账户即将来要在ADRMS群集中使用的账户,可使用普通域成员账户,但必须区别于当前服务器登录的域用户账户。
(点击查看大图)图17-8
安装ADRMS根服务器(3)
指定"
按钮,显示如图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安装 配置 ADRMS