Active Directory 憑證服務 (AD CS) 是 Windows Server 角色,可用來發行和管理用於安全通訊和驗證通訊協定的公鑰基礎結構 (PKI) 憑證。
發行和管理憑證
數位證書可用來加密和數位簽署電子檔和訊息,以及驗證網路上的計算機、使用者或裝置帳戶。 例如,數位憑證提供:
- 使用加密技術以確保機密性。
- 使用數位簽章以提供完整性。
- 藉由將憑證金鑰與計算機、使用者或裝置帳戶建立關聯,在計算機網路上進行驗證。
主要功能
AD CS 提供下列重要功能:
證書授權單位: 根憑證和子憑證授權單位(CA)可用來向使用者、電腦和服務頒發憑證,以及管理憑證有效性。
Web 註冊: Web 註冊可讓使用者使用網頁瀏覽器連線到 CA,以要求憑證並擷取證書吊銷清單(CRL)。
在線回應程式: 在線回應程式服務會譯碼特定憑證的撤銷狀態要求、評估這些憑證的狀態,並傳回包含所要求憑證狀態資訊的已簽署回應。
網路裝置註冊服務: 網路裝置註冊服務允許沒有網域帳戶的路由器和其他網路裝置取得憑證。
TPM 金鑰證明: 讓證書頒發機構單位確認私鑰受到硬體型 TPM 的保護,且 TPM 是 CA 信任的金鑰。 TPM 金鑰證明可防止憑證導出至未經授權的裝置,並可將使用者身分識別系結至裝置。
憑證註冊原則 Web 服務: 憑證註冊原則 Web 服務可讓用戶和計算機取得憑證註冊原則資訊。
憑證註冊 Web 服務: 憑證註冊 Web 服務可讓使用者和電腦透過 Web 服務執行憑證註冊。 與憑證註冊原則 Web 服務一起,當用戶端電腦不是網域成員或網域成員未連線到網域時,這會啟用以原則為基礎的憑證註冊。
優點
您可以使用AD CS將人員、計算機或服務的身分識別系結至對應的私鑰,以增強安全性。 AD CS 提供符合成本效益、有效率且安全的方法來管理憑證的散發和使用。 除了系結身分識別和私鑰之外,AD CS 也包含可讓您管理憑證註冊和撤銷的功能。
Active Directory 中現有的端點身分識別資訊可用來註冊憑證,讓信息自動插入憑證中。 Active Directory 組策略也可以用來指定哪些使用者和機器允許哪些類型的憑證。 組策略設定可啟用角色型或屬性型訪問控制。
AD CS 支援的應用程式包括安全/多用途因特網郵件延伸模組(S/MIME)、安全無線網路、虛擬專用網(VPN)、因特網通訊協定安全性(IPsec)、加密檔系統(EFS)、智慧卡登入、安全套接字層/傳輸層安全性(SSL/TLS)和數字簽名。