2008R2Win7管理二十二ADCS新功能详解及安装
本篇在上篇的基础上发展,有了web,甚至后续有exchange和ocs及其他微软产品,我们可能需要证书的配合才能工作,本篇将环境先做好然后下篇在web上配置和启用证书等.
2008R2上的ADCS的更新如下
WindowsServer® 2008 R2 中的 Active Directory(R) 证书服务 (AD CS)引入了许多功能和服务,这些功能和服务允许更加灵活的公钥基础结构 (PKI) 部署,降低了管理成本,并对网络访问保护 (NAP)部署提供了更好的支持。
下表中的 AD CS 功能和服务是 Windows Server 2008 R2 中的新增功能。
功能 优点
功能1:证书注册 Web 服务和证书注册策略 Web 服务
优点1:支持在 HTTP 上的证书注册。
功能2:支持跨林证书注册
优点2:支持在多林部署中的证书颁发机构 (CA) 合并。
功能3:改进了对大批量 CA 的支持
优点3:减小了某些 NAP 部署和其他大批量 CA 的 CA 数据库大小。
证书注册 Web 服务和证书注册策略 Web 服务
证书注册 Web 服务是新增的 AD CS 角色服务,支持通过使用现有方法(如自动注册)在 HTTP 上的基于策略的证书注册。 Web服务充当客户端计算机与 CA 之间的一个代理(这使得客户端计算机不必与 CA 直接通信),同时通过 Internet进行证书注册和跨林证书注册。
证书注册 Web 服务代表客户端计算机提交请求,且必须信任该服务以进行委派。 此 Web 服务的Extranet 部署扩大了网络攻击的威胁,某些组织可能会选择不信任该服务以进行委派。 在这些情况下,可以配置证书注册 Web 服务和颁发CA 以仅接受使用现有证书签署的续订请求(不需要委派)。
证书注册 Web 服务还具有以下要求:
* 具有 Windows Server 2008 R2 架构的 Active Directory 林
* 运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的企业 CA。
* 跨林证书注册需要运行 Windows Server 的 Enterprise 或 Datacenter 版的企业 CA。
* 运行 Windows® 7 的客户端计算机。
在 Windows Server 2008 R2 的所有版本中都提供证书注册 Web 服务。
支持跨林证书注册
在引入跨林注册之前,CA 仅可以向相同林的成员颁发证书,且每个林都有它自己的 PKI。 借助对 LDAP 引用的附加支持,Windows Server 2008 R2 CA 可以跨林颁发具有双向信任关系的证书。
通过支持跨林证书注册,具有多个 Active Directory 林且按林进行 PKI 部署的组织可以受益于 CA 合并。
注意:
* Active Directory 林要求 Windows Server 2003 林功能级别和双向可传递信任。
* 运行 Windows XP、Windows Server 2003 和 Windows Vista® 的客户端计算机不需要更新来支持跨林证书注册。
在运行 Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter 的企业 CA 上提供此功能。
改进了对大批量 CA 的支持
作用
已使用 IPsec 强制或其他大批量 CA 部署 NAP 的组织可以选择绕过某些 CA 数据库操作来减小 CA 数据库大小。
NAP 健康证书通常会在颁发后的几小时内到期,且 CA 可能会每天为每台计算机颁发多个证书。默认情况下,会将每个申请和已颁发证书的记录存储在 CA 数据库中。大批量的申请会提高 CA 数据库的增长速度和管理成本。
注意事项
因为颁发的证书并不存储在 CA 数据库中,所以不可能吊销证书。 但是,维护大批量短效证书的证书吊销列表通常不现实,也并无益处。 因此,某些组织可能会选择使用此功能并接受关于吊销的限制。
使用服务器管理角色来进行安装ADCS证书服务
证书服务简要说明,安装证书服务后无法再对计算机进行改名操作
选择证书服务功能,新功能中的-证书注册web服务需要在其他角色安装完毕才能安装,所以本篇先不安装.
选择类型,一般为企业
第一次配置为根CA,后续才有子ca
以前没有,那么新建吧
选择加冕服务提供程序
CA的名称,可进行自定义
证书有效日期
选择数据库存放地址,实验环境默认,生产环境建议单独存放
访问证书服务的时候使用的验证方式
服务器证书
角色确认
安装完成后重启电脑以免有其他意外.虽然adcs并不要求重启