了解 PKI 和 AD CS 的基础知识
要获取 AD DS 基础结构的证书,可以从公共 CA 处请求证书,也可使用自己的基础结构颁发这些证书。 要实现自己的 CA,可以使用 AD CS,这是 Contoso 选择采用的路径。 AD CS 是 Windows Server 提供的一项标识技术,可用于为组织实现 PKI。
什么是 PKI?
PKI 是软件、加密技术、过程和服务的组合,可使组织保证其数据、通信与业务事务的安全。 PKI 依赖于经过身份验证的用户和受信任的资源之间的数字证书交换。 可以使用证书来保护数据安全,并管理来自组织内外的用户和计算机的标识凭据。
什么是 AD CS?
可以使用 AD CS Windows Server 角色来实现 PKI 解决方案。 AD CS 以角色服务的形式提供与 PKI 相关的所有组件。 每个角色服务负责证书基础结构的特定部分,同时协同工作构成一个完整的解决方案。
AD CS 角色包括下列角色服务:
证书颁发机构。 CA 的主要用途是颁发证书、吊销证书,以及发布授权信息访问 (AIA) 和吊销信息。 部署的第一个 CA 会成为内部 PKI 的根。 然后,可以部署位于 PKI 层次结构中的从属 CA,并将根 CA 置于其顶部。 从属 CA 隐式信任根 CA,并隐含信任根 CA 颁发的证书。
注意
你可以选择部署多个内部 CA 层次结构,每个层次结构都有其自己的根。
证书颁发机构 Web 注册。 此组件提供了一种颁发和续订证书的方法,适用于用户使用未加入域的设备或运行非 Windows 操作系统的情况。
在线响应者。 可以使用此组件配置和管理在线证书状态协议 (OCSP) 验证和吊销检查。 在线响应者可解码对特定证书的吊销状态请求,评估这些证书的状态,并返回包含所请求证书状态信息的签名响应。
网络设备注册服务 (NDES)。 利用此组件,路由器、交换机和其他网络设备可以从 AD CS 获取证书。
证书注册 Web 服务 (CES)。 此组件用作运行 Windows 的计算机与 CA 之间的代理客户端。 CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
- 请求、续订和安装已颁发的证书。
- 检索证书吊销列表 (CRL)。
- 下载根证书。
- 通过 Internet 注册或跨林注册。
- 为不受信任的 AD DS 域中的计算机或未加入域的计算机自动续订证书。
证书注册策略 Web 服务。 此组件使用户能够获取证书注册策略信息。 与 CES 结合使用时,它可在用户设备未加入域或无法连接到域控制器的情况下实现基于策略的证书注册。
