Menjelajahi dasar-dasar PKI dan AD CS

  • 5 menit

Untuk mendapatkan sertifikat infrastruktur AD DS, Anda dapat memintanya dari CA publik atau menerbitkannya menggunakan infrastruktur Anda sendiri. Untuk menerapkan CA Anda sendiri, Anda dapat menggunakan AD CS, yang merupakan jalur yang dipilih Contoso. AD CS adalah teknologi identitas di Windows Server yang memungkinkan Anda menerapkan PKI untuk organisasi Anda.

Apa itu PKI?

PKI adalah kombinasi dari perangkat lunak, teknologi enkripsi, proses, dan layanan yang memungkinkan organisasi untuk mengamankan data, komunikasi, dan transaksi bisnisnya. PKI bergantung pada pertukaran sertifikat digital antara pengguna yang diautentikasi dan sumber daya tepercaya. Anda menggunakan sertifikat untuk mengamankan data dan mengelola info masuk identifikasi dari pengguna dan komputer baik di dalam maupun di luar organisasi.

Apa itu AD CS?

Anda dapat menerapkan solusi PKI menggunakan peran AD CS Windows Server. AD CS menyediakan semua komponen terkait PKI sebagai layanan peran. Setiap layanan peran bertanggung jawab atas bagian tertentu dari infrastruktur sertifikat sambil bekerja sama untuk membentuk solusi yang lengkap.

Peran AD CS mencakup layanan peran berikut:

  • Otoritas Sertifikasi. Tujuan utama CA adalah untuk menerbitkan sertifikat, mencabut sertifikat, dan menerbitkan akses informasi otoritas (AIA) dan informasi pencabutan. CA pertama yang Anda sebarkan akan menjadi akar PKI internal Anda. Selanjutnya, Anda dapat menyebarkan CA bawahan, yang diposisikan dalam hierarki PKI, dengan CA akar di atasnya. CA bawahan secara implisit memercayai CA akar dan, oleh karenanya, sertifikat yang diterbitkannya.

    Catatan

    Anda memiliki opsi untuk menyebarkan beberapa hierarki CA internal, masing-masing dengan akarnya sendiri.

  • Pendaftaran Web Otoritas Sertifikasi. Komponen ini menyediakan metode untuk menerbitkan dan memperbarui sertifikat dalam skenario saat pengguna menggunakan perangkat yang tidak bergabung ke domain atau menjalankan sistem operasi selain Windows.

  • Penanggap Online. Anda dapat menggunakan komponen ini untuk mengonfigurasi dan mengelola pemeriksaan validasi dan pencabutan Protokol Status Sertifikat Online (OCSP). Penanggap Online mendekodekan permintaan status pencabutan untuk sertifikat tertentu, mengevaluasi status sertifikat tersebut, dan mengembalikan respons yang ditandatangani yang memiliki informasi status sertifikat yang diminta.

  • Layanan Pendaftaran Perangkat Jaringan (NDES). Dengan komponen ini, router, sakelar, dan perangkat jaringan lainnya dapat memperoleh sertifikat dari AD CS.

  • Layanan Web Pendaftaran Sertifikat (CES). Komponen ini berfungsi sebagai klien proksi antara komputer yang menjalankan Windows dan CA. CES memungkinkan pengguna, komputer, atau aplikasi untuk tersambung ke CA menggunakan layanan web untuk:

    • Meminta, memperbarui, dan menginstal sertifikat yang diterbitkan.
    • Mengambil daftar pencabutan sertifikat (CRL).
    • Mengunduh sertifikat root.
    • Mendaftar melalui internet atau lintas hutan.
    • Memperbarui sertifikat secara otomatis untuk komputer yang merupakan bagian dari domain AD DS yang tidak tepercaya atau tidak tergabung dalam domain.

  • Layanan Web Kebijakan Pendaftaran Sertifikat. Komponen ini memungkinkan pengguna untuk mendapatkan informasi kebijakan pendaftaran sertifikat. Dikombinasikan dengan CES, ini memungkinkan pendaftaran sertifikat berbasis kebijakan dalam skenario di mana perangkat pengguna tidak bergabung ke domain atau tidak dapat tersambung ke pengendali domain.

Layanan peran peran CS AD di Windows Server 2019, termasuk CA, Pendaftaran Web CA, Penanggap Online, Layanan Pendaftaran Perangkat Jaringan, CES, dan Layanan Web Kebijakan Pendaftaran Sertifikat.