Windows Server 2008 R2 之二十二AD RMS基础

相对于传统的信息安全保护方案（防火墙、ACL、EFS等），Active Directory 权限管理服务它提供了与应用程序协作（如office 2007)保护数字内容的安全技术，它专门为那些需要保护的敏感文档、电子邮件和WEB内容而设计，可以严格地控制哪些用户可以打开、读取、修改和重新分发等权限。RMS的最大优势在于它能对整个数字信息生命周期进行管理，权限伴随文档。

一、AD RMS的工作过程

AD RMS的工作过程是一个相当复杂的过程。我们可以用下面的四步来简单描述它的工作过程（尽管不够具体、准确）。

作者：1、创建受保护的文档。2、授权并分发内容（作者会身RMS服务器请求发布许可，RMS服务器返回发布许可，支持RMS的应用程序将发布许可合并到受保护的文档）

使用者：当使用都打开受保护的文档时，1、向RMS服务器请求使用许可。2、服务器向使用者返回使用许可，使用者使用使用许可打开文档内容

二、AD Rms证书和许可证服务器许可方证书 (SLC)在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。服务器会为自己生成唯一的 SLC，该 SLC 建立该服务器的标识，称为自注册，且有效期为 250 年。这样可以将受权限保护的数据存档较长时间。根群集既处理证书（通过发放权限帐户证书 (RAC)），又处理对受权限保护的内容的授权。添加到根群集的其他服务器共享一个 SLC。在复杂环境中，可以部署仅授权群集，这会生成它们自己的 SLC。SLC 包含服务器的公钥。（注意在Windows Server 2003中，SLC是通过向微软网站注册后而微软创建的） 客户端许可方证书 (CLC)CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。CLC 在客户端连接到组织的网络时会发送到客户端，并授予用户在客户端未连接时发布受权限保护的内容的权限。CLC 与用户的 RAC 相关联，因此，如果 RAC 无效或不存在，用户将无法访问 AD RMS 群集。CLC 包含客户端许可方公钥以及客户端许可方私钥，该私钥由请求证书的用户的公钥加密。它还包含发放证书的群集的公钥，该公钥由发放证书的群集的私钥签名。客户端许可方私钥用于对发布许可证进行签名。 计算机证书首次使用支持 AD RMS 的应用程序时，会在客户端计算机上创建计算机证书。Windows Vista 和 Windows 7 中的 AD RMS 客户端自动激活并注册根群集，从而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。密码箱是%windir%\system32\SECPRO.DLL文件 权限帐户证书 (RAC)RAC 在 AD RMS 系统中建立了用户的标识。它由 AD RMS 根群集创建，并在首次尝试打开受权限保护的内容时提供给用户。

标准 RAC 在特定计算机或设备环境中使用帐户凭据标识用户，且具有以天数表示的有效时间。标准 RAC 的默认有效时间是 365 天。

临时 RAC 仅基于帐户凭据标识用户，且具有以分钟数表示的有效时间。临时 RAC 的默认有效时间是 15 分钟。RAC 包含用户的公钥，以及用户的使用已激活计算机的公钥加密的私钥。RAC和特定的计算机相关联，每个用户对每个设备都有唯一的RAC。在任何计算机上，RAC的密钥对是相同的。

RAC的产生过程：

1、使用Windows集成身份验证向RMS服务器发送请求

2、RMS服务器查询数据库，可能会使用已有的密钥对或生成密钥对

3、RMS服务器将用户的私钥用计算机的公钥进行加密

4、RMS服务器将用户的公钥和加密后的私钥放在RAC中

5、RAC被RMS服务器用私钥进行数字签署

6、RMS服务器将RAC发送给用户

7、RMS服务器将用户的密钥对存放在RMS数据库中 发布许可证(Publishing License)使用权限保护保存内容时，客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!