管理证书注册

  • 9 分钟

CA 的用途是允许用户和设备注册和使用证书。 但这与 CA 实现一样,需要进行仔细的规划和准备,确定 CA 可以颁发的证书类型。

什么是证书?

证书是一个小文件,其中包含有关其所有者的几条信息。 此数据可以包括所有者的电子邮件地址、所有者姓名、证书使用类型、有效期以及 AIA 和 CDP 位置的 URL。

证书还包含密钥对,由私钥和相应的公钥组成。 在验证标识、数字签名和加密的过程中,可以使用这些密钥。 每个证书生成的密钥对都具有以下条件:

  • 如果内容使用公钥加密,则只能使用私钥解密。
  • 如果内容使用私钥加密,则只能使用公钥解密。
  • 一个密钥对中的密钥之间的关系不涉及任何其他密钥。
  • 无法在合理的时间内从公钥派生出私钥,反之亦然。

在证书注册过程中,客户端会生成公钥/私钥对。 然后,客户端将公钥发送到 CA,而 CA 会确认客户端信息,用自己的私钥对其进行签名,随后再将包含客户端公钥的证书发送回客户端。

注意

可以将证书视为驾照。 许多企业都接受驾照作为一种标识形式,因为他们认为驾照的颁发机构(一个政府机构)值得信任。 企业了解获得驾照的流程,因此他们相信颁发机构在颁发驾照之前验证了个人身份。 因此,可接受驾照作为有效的标识形式。 建立证书信任的方式与此类似。

Several stages of CA lifecycle, focusing on the certificate issuance.

什么是证书模板?

证书模板定义了用户和设备如何根据该模板来请求和使用企业 CA 颁发的证书。 例如,你可以创建一个模板来提供文件加密或电子邮件签名功能。 CA 依赖于 AD DS 来存储所配置的模板。

重要

只有在使用企业 CA 时才可使用证书模板。 这意味着,在使用独立 CA 时,必须手动创建每个证书请求,并添加需要在证书中包含的所有必需信息。

CA 针对用户和计算机提供了模板。 可以向证书模板分配相应权限,以定义可以管理模板的人员、可以执行注册或自动注册的人员,以及模板的有效期和续订期。 可以通过复制预定义的证书模板来应用其他修改。 要使模板可供用户和设备使用,必须显式允许其使用。

模板版本

Windows Server 2019 AD CS 中的 CA 支持四个版本的证书模板,它们具有以下功能差异:

  • 版本 1 模板。 这些模板只允许修改与证书相关的权限。 在安装 CA 时,默认情况下会创建版本 1 证书模板。
  • 版本 2 模板。 利用这些模板,可以自定义其他设置,如有效期和续订期。 这也是支持自动注册的最低版本。 AD CS 的默认安装内容包含多个预配置的版本 2 模板。 你可以创建版本 2 模板,也可以复制版本 1 证书模板来创建新的版本 2 模板。
  • 版本 3 模板。 版本 3 证书模板支持下一代加密技术 (CNG)。 CNG 支持高级加密算法。 可以复制默认版本 1 和版本 2 模板,并将其升级到版本 3。 使用版本 3 证书模板时,可以将 CNG 加密和哈希算法用于证书请求、颁发的证书,以及密钥交换和密钥存档方案的私钥保护。
  • 版本 4 模板。 版本 4 证书模板支持加密服务提供程序 (CSP) 和密钥存储提供者。 还可以将其配置为要求使用相同的密钥进行续订。

演示

下面的视频演示了如何执行以下操作:

  • 根据 Web 服务器模板创建新模板。
  • 配置模板,使其可被颁发。

此过程的主要步骤如下:

  1. 创建 AD DS 环境。 创建一个单域 AD DS 林。
  2. 部署企业根 CA。
  3. 创建自定义证书模板。 使用证书模板控制台来复制 Web 服务器模板。
  4. 配置模板,使其可被颁发。 使用证书颁发机构控制台来使模板可供使用。

快速回顾

1.

以下哪种工具可用于使用已配置的模板进行证书注册?