理解Intel AMT用到的证书(2) -- TLS通信篇

上一篇: 理解Intel AMT用到的证书(1) -- PKI配置篇

TLS通信

      AMT的TLS通信有两种模式:Server Authentication和Mutual Authentication,前者只要求被访问的服务器方提供证书,后者要求TLS通信双方都提供证书。

      不管是哪种模式,TLS通信的被访问端都需要提供证书,也就是在激活TLS的情况下,AMT端本身必须要配置证书,并且此证书是需要包含有公私钥的。那么这个证书是如何获取并配置进去的呢?由于此证书是对每个AMT端是不一样的,并且是需要根据企业当前环境来配置,因此这个证书一般是在配置过程中动态生成:AMT配置过程中,配置服务器将AMT的UUID等信息发送给指定的CA,然后CA按照预先定义好的模版为此AMT生成证书,证书中的CN名将采用配置服务器传来的UUID。在管理控制台通过TLS方式访问AMT时,按TLS协议标准,AMT会将上述证书的公钥证书传给控制台端,自己控有私钥证书,这样通信双方就能实现TLS加密通信,这种方式与我们常见的访问HTTPS网站方式类似。

       在Mutual Authentication方式中,不管是管理控制台远程访问AMT,还是本地操作系统程序通过LMS服务本地访问AMT,发起连接方都需要提供证书。远程管理控制台程序使用的证书和本地操作系统运行的程序使用的证书都是属于TLS通信的客户端证书,但是相互之间是有区别的。远程控制台程序使用的证书要求其OID必须包含有“2.16.840.1.113741.1.2.1”,本地操作系统上程序使用的证书要求其OID必须包含有“2.16.840.1.113741.1.2.2”。只有含有这样的OID的证书才会被AMT接受用于TLS通信。

      下图就是SDK例子生成的分别用于远程控制台与AMT进行TLS通信所需要的证书;
   

    用与本地程序与AMT TLS通信的证书:
   

     远程访问AMT时,如果是通过WebUI访问,所访问的URL地址中的主机名部分最好是要和AMT申请证书时用的一样,否则系统会弹出警告信息。另外,为AMT颁发证书的CA的根证书的公钥证书也需要事先安装到系统证书列表中,在Windows中,一般只需要双击根证书文件既可自动安装。这个证书是用于验证TLS通信握手时AMT端传过来的公钥证书,如果浏览器无法验证此公钥证书有效性,则同样会弹出警告信息。如下图所示:
  

      如果AMT被配置成了Mutual Authentication,则在访问WebUI时,除了注意上面几点,同时在浏览器端还会弹出一个选择框,让用户选择可以用于Mutual Authentication TLS通信用的证书,也就是为控制台申请的证书需要实现安装到系统中,然后才会出现上上面说到证书选择列表中。如下图所示:
   

下一篇:理解Intel AMT用到的证书(3) -- MPS和802.1x篇

Reportez-vous à notre Notice d'optimisation pour plus d'informations sur les choix et l'optimisation des performances dans les produits logiciels Intel.