什麼是 Active Directory 憑證服務?
Active Directory 憑證服務 (AD CS) 是 Windows Server 角色,可用來發行和管理用於安全通訊和驗證通訊協定的公開金鑰基礎結構 (PKI) 憑證。
發行與管理憑證
數位憑證可用來加密和數位簽署電子文件和訊息,以及驗證網路上的電腦、使用者或裝置帳戶。 例如,數位憑證可用來提供:
- 透過加密的機密性。
- 透過數位簽章的完整性。
- 驗證,透過將憑證金鑰與電腦網路上的電腦、使用者或裝置帳戶關聯。
主要功能
AD CS 提供下列重要功能:
憑證授權單位單位:根憑證授權單位 (CA) 用來向使用者、電腦和服務頒發憑證,以及管理憑證有效性。
Web 註冊: Web 註冊可讓使用者使用網頁瀏覽器連線到 CA,以要求憑證並擷取憑證撤銷清單 (CRL)。
線上回應者:線上回應者服務可解碼特定憑證的撤銷狀態要求、評估這些憑證的狀態,以及送回含有所要求憑證狀態資訊的簽署回應。
網路裝置註冊服務:網路裝置註冊服務允許沒有網域帳戶的路由器和其他網路裝置取得憑證。
TPM 金鑰證明:讓憑證授權單位單位確認私密金鑰受到硬體型 TPM 的保護,且 TPM 是 CA 信任的金鑰。 TPM 金鑰證明可防止憑證匯出至未經授權的裝置,並可以將使用者身分識別繫結至裝置。
憑證註冊原則 Web 服務:憑證註冊原則 Web 服務可讓使用者和電腦取得憑證註冊原則資訊。
憑證註冊 Web 服務: 憑證註冊 Web 服務可讓使用者和電腦透過 Web 服務執行憑證註冊。 與 [憑證註冊原則 Web 服務] 搭配使用,即可在用戶端電腦不是網域成員或網域成員未連線到網域時,啟動以原則為基礎的憑證註冊。
優點
您可以將個人、電腦或服務的識別身分繫結到對應的私密金鑰,進而使用 AD CS 來加強安全性。 AD CS 提供您一個合乎成本效益且有效的安全方法來管理憑證的發佈與使用。 除了繫結身分識別和私密金鑰之外,AD CS 也包含可讓您管理憑證註冊和撤銷的功能。
您可以使用 Active Directory 中的現有端點身分識別資訊來註冊憑證,這表示您可以自動將資訊插入憑證中。 AD CS 也可以用來設定 Active Directory 群組原則,以指定允許哪些使用者和機器使用哪種類型的憑證。 群組原則設定可啟用角色型或屬性型存取控制。
AD CS 支援的應用程式包括安全多用途網際網路郵件延伸 (S/MIME)、安全無線網路、虛擬私人網路 (VPN)、網際網路通訊協定安全性 (IPsec)、加密檔案系統 (EFS)、智慧卡登入、安全通訊端層/傳輸層安全性 (SSL/TLS) 以及數位簽章。