Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Pendaftaran Web Otoritas Sertifikasi (CA) di Active Directory Certificate Services (AD CS) menyederhanakan manajemen sertifikat dengan menyediakan antarmuka berbasis browser untuk meminta dan memperbarui sertifikat, mengambil daftar pencabutan sertifikat (CRL) dan mendaftar untuk sertifikat kartu pintar. Layanan peran ini berguna untuk organisasi yang membutuhkan metode fleksibel dan interaktif untuk pendaftaran sertifikat tanpa memerlukan konfigurasi klien tertentu. Dalam artikel ini, Anda akan mempelajari fitur, kemampuan, dan opsi konfigurasi dari Pendaftaran Web CA serta bagaimana layanan ini dibandingkan dengan layanan peran Layanan Web Pendaftaran Sertifikat.
Kemampuan dan tugas umum
Pendaftaran Web CA memungkinkan pengguna mengirimkan PKCS #10 permintaan ke CA secara interaktif melalui browser web dan situs web Internet Information Services (IIS). Pendaftaran CA melalui Web berbeda dari layanan peran Layanan Web Pendaftaran Sertifikat terkait. Meskipun Pendaftaran Web CA dan Layanan Web Pendaftaran Sertifikat menggunakan HTTPS, mereka pada dasarnya merupakan teknologi yang berbeda.
Pendaftaran Web CA berguna saat Anda berinteraksi dengan CA mandiri karena snap-in Certificates Microsoft Management Console (MMC) tidak dapat digunakan untuk berinteraksi dengan CA mandiri. CA Perusahaan dapat menerima permintaan sertifikat melalui snap-in Sertifikat atau halaman layanan peran Pendaftaran Web CA.
Layanan peran Pendaftaran Web CA mencakup halaman web sampel yang diperbarui untuk operasi pendaftaran sertifikat berbasis web. Halaman web ini bekerja sama dengan CertEnroll komponen. Untuk informasi selengkapnya tentang CertEnroll, lihat API Pendaftaran Sertifikat.
Tabel berikut ini meringkas perbedaan utama antara Pendaftaran Web CA dan Layanan Web Pendaftaran Sertifikat:
| Fitur / Kapabilitas | Pendaftaran Web CA | Layanan Web Pendaftaran Sertifikat |
|---|---|---|
| Request Method | Permintaan sertifikat interaktif yang dibuat secara manual oleh pemohon, diunggah melalui situs web. | Pendaftaran dan perpanjangan otomatis, cocok untuk penyebaran skala besar. |
| Certificate Provisioning | Metode interaktif berbasis browser untuk sertifikat individual. | Provisi otomatis untuk sertifikat tambahan. |
| Client Requirements | Tidak diperlukan komponen atau konfigurasi klien tertentu. | Klien bawaan dengan Windows dan Windows Server. |
| Forest Consolidation | Not supported. | Didukung; memungkinkan konsolidasi PKI di beberapa forest dengan menghilangkan kebutuhan penyebaran CA per forest. |
| Pendaftaran Jaringan Perimeter | Not supported. | Didukung; memungkinkan pendaftaran sertifikat dari luar jaringan perusahaan. |
Untuk informasi selengkapnya tentang konsolidasi hutan dan penggunaan jaringan perimeter, lihat Layanan Web Pendaftaran Sertifikat di Layanan Sertifikat Direktori Aktif.
Deployment topology
Anda dapat menginstal Pendaftaran Web CA di server yang bukan CA untuk memisahkan lalu lintas web dari CA. Menginstal Pendaftaran Web CA mengonfigurasi komputer sebagai otoritas pendaftaran. Anda harus memilih CA untuk digunakan dengan halaman Pendaftaran Web CA. The CA that CA Web Enrollment uses is the Target CA in the user interface. Anda dapat memilih CA target yang ingin Anda gunakan dengan menggunakan nama CA atau nama komputer yang terkait dengan CA.
Jika Anda menginstal halaman Pendaftaran Web CA di komputer yang bukan CA target, akun komputer tempat Anda menginstal halaman Pendaftaran Web CA harus dipercaya untuk delegasi. Untuk informasi selengkapnya, lihat Menginstal Dukungan Pendaftaran Web di Komputer Lain (Opsional) dan Cara mengonfigurasi Proksi Pendaftaran Web WINDOWS Server 2008 CA.
Note
Jika halaman Pendaftaran Web CA tidak berhasil diinstal pada CA yang dimigrasikan, kemungkinan status penyiapan di registri tidak dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Konfigurasi Pendaftaran di Web Otoritas Sertifikasi Gagal 0x80070057 (WIN32: 87).
Halaman layanan peran Pendaftaran Web CA mengharuskan Anda mengamankannya dengan Secure Sockets Layer (SSL) atau Transport Layer Security (TLS). Jika tidak, Anda akan melihat pesan kesalahan berikut: Untuk menyelesaikan pendaftaran sertifikat, situs web untuk CA harus dikonfigurasi untuk menggunakan autentikasi HTTPS. Untuk mempelajari tentang mengonfigurasi autentikasi HTTPS, lihat Layanan Sertifikat Direktori Aktif (AD CS): Kesalahan: "Untuk menyelesaikan pendaftaran sertifikat, situs web untuk CA harus dikonfigurasi untuk menggunakan autentikasi HTTPS.
Menggunakan halaman Pendaftaran Web CA
Jika Anda diberi izin akses, Anda bisa melakukan tugas berikut dari halaman Pendaftaran Web CA:
Minta sertifikat dasar.
Minta sertifikat dengan opsi tingkat lanjut. Meminta dengan opsi tingkat lanjut memberi Anda kontrol yang lebih besar atas permintaan sertifikat. Opsi yang tersedia dalam permintaan sertifikat tingkat lanjut meliputi:
Dalam opsi Penyedia layanan kriptografi (CSP), Anda dapat mengonfigurasi nama penyedia layanan kriptografi, ukuran kunci (1024, 2048, dan sebagainya), algoritma hash (seperti SHA/RSA, SHA/DSA, MD2, atau MD5) dan spesifikasi utama (pertukaran atau tanda tangan).
Opsi pembuatan kunci memungkinkan Anda membuat set kunci baru atau menggunakan set kunci yang ada, menandai kunci sebagai dapat diekspor, mengaktifkan perlindungan kunci yang kuat, dan menggunakan penyimpanan komputer lokal untuk menghasilkan kunci.
Additional options. Simpan permintaan ke file #10 PKCS atau tambahkan atribut tertentu ke sertifikat.
Periksa permintaan sertifikat yang tertunda. Jika Anda mengirimkan permintaan sertifikat ke otoritas sertifikasi mandiri, Anda perlu memeriksa status permintaan yang tertunda untuk memastikan otoritas sertifikasi menerbitkan sertifikat. Jika otoritas mengeluarkan sertifikat, sertifikat akan tersedia di halaman web untuk Anda instal.
Ambil sertifikat otoritas sertifikasi untuk ditempatkan di repositori akar sertifikat tepercaya Anda atau instal seluruh rantai sertifikat di repositori sertifikat Anda.
Ambil CRL dasar dan delta saat ini.
Kirim permintaan sertifikat dengan menggunakan file PKCS #10 atau file PKCS #7. Secara umum, Anda menggunakan file PKCS #10 untuk mengirimkan permintaan sertifikat baru dan file PKCS #7 untuk mengirimkan permintaan untuk memperbarui sertifikat yang ada. Mengirimkan permintaan dengan file berguna ketika pemohon sertifikat tidak dapat mengirimkan permintaan secara online ke otoritas sertifikasi.
Halaman web ini terletak di https://<servername>/certsrv, di mana <servername> adalah nama server yang menghosting halaman Pendaftaran CA Web. Bagian certsrv URL harus selalu dalam huruf kecil; jika tidak, pengguna dapat mengalami masalah saat memeriksa dan mengambil sertifikat yang tertunda.
Next steps
Untuk informasi selengkapnya tentang Pendaftaran Web dan pemecahan masalah umum, lihat artikel berikut ini: