管理证书注册
CA 的用途是允许用户和设备注册和使用证书。 但这与 CA 实现一样,需要进行仔细的规划和准备,确定 CA 可以颁发的证书类型。
什么是证书?
证书是一个小文件,其中包含有关其所有者的几条信息。 此数据可以包括所有者的电子邮件地址、所有者姓名、证书使用类型、有效期以及 AIA 和 CDP 位置的 URL。
证书还包含密钥对,由私钥和相应的公钥组成。 在验证标识、数字签名和加密的过程中,可以使用这些密钥。 每个证书生成的密钥对都具有以下条件:
- 如果内容使用公钥加密,则只能使用私钥解密。
- 如果内容使用私钥加密,则只能使用公钥解密。
- 一个密钥对中的密钥之间的关系不涉及任何其他密钥。
- 无法在合理的时间内从公钥派生出私钥,反之亦然。
在证书注册过程中,客户端会生成公钥/私钥对。 然后,客户端将公钥发送到 CA,而 CA 会确认客户端信息,用自己的私钥对其进行签名,随后再将包含客户端公钥的证书发送回客户端。
注意
可以将证书视为驾照。 许多企业都接受驾照作为一种标识形式,因为他们认为驾照的颁发机构(一个政府机构)值得信任。 企业了解获得驾照的流程,因此他们相信颁发机构在颁发驾照之前验证了个人身份。 因此,可接受驾照作为有效的标识形式。 建立证书信任的方式与此类似。
什么是证书模板?
证书模板定义了用户和设备如何根据该模板来请求和使用企业 CA 颁发的证书。 例如,你可以创建一个模板来提供文件加密或电子邮件签名功能。 CA 依赖于 AD DS 来存储所配置的模板。
重要
只有在使用企业 CA 时才可使用证书模板。 这意味着,在使用独立 CA 时,必须手动创建每个证书请求,并添加需要在证书中包含的所有必需信息。
CA 针对用户和计算机提供了模板。 可以向证书模板分配相应权限,以定义可以管理模板的人员、可以执行注册或自动注册的人员,以及模板的有效期和续订期。 可以通过复制预定义的证书模板来应用其他修改。 要使模板可供用户和设备使用,必须显式允许其使用。
模板版本
Windows Server 2019 AD CS 中的 CA 支持四个版本的证书模板,它们具有以下功能差异:
- 版本 1 模板。 这些模板只允许修改与证书相关的权限。 在安装 CA 时,默认情况下会创建版本 1 证书模板。
- 版本 2 模板。 利用这些模板,可以自定义其他设置,如有效期和续订期。 这也是支持自动注册的最低版本。 AD CS 的默认安装内容包含多个预配置的版本 2 模板。 你可以创建版本 2 模板,也可以复制版本 1 证书模板来创建新的版本 2 模板。
- 版本 3 模板。 版本 3 证书模板支持下一代加密技术 (CNG)。 CNG 支持高级加密算法。 可以复制默认版本 1 和版本 2 模板,并将其升级到版本 3。 使用版本 3 证书模板时,可以将 CNG 加密和哈希算法用于证书请求、颁发的证书,以及密钥交换和密钥存档方案的私钥保护。
- 版本 4 模板。 版本 4 证书模板支持加密服务提供程序 (CSP) 和密钥存储提供者。 还可以将其配置为要求使用相同的密钥进行续订。
演示
下面的视频演示了如何执行以下操作:
- 根据 Web 服务器模板创建新模板。
- 配置模板,使其可被颁发。
此过程的主要步骤如下:
- 创建 AD DS 环境。 创建一个单域 AD DS 林。
- 部署企业根 CA。
- 创建自定义证书模板。 使用证书模板控制台来复制 Web 服务器模板。
- 配置模板,使其可被颁发。 使用证书颁发机构控制台来使模板可供使用。