Active Directory 证书服务(AD CS)是一个 Windows Server 角色,用于颁发和管理用于安全通信和身份验证协议的公钥基础结构(PKI)证书。
颁发和管理证书
数字证书可用于加密和数字签名电子文档和消息,以及对网络上的计算机、用户或设备帐户进行身份验证。 例如,数字证书提供:
- 通过加密提供机密性。
- 通过数字签名提供完整性。
- 通过将证书密钥与计算机网络上的计算机、用户或设备帐户相关联来进行身份验证。
主要功能
AD CS 提供以下重要功能:
证书颁发机构: 根证书颁发机构和从属证书颁发机构用于向用户、计算机和服务颁发证书,以及管理证书有效性。
Web 注册: Web 注册允许用户使用 Web 浏览器连接到 CA,以便请求证书并检索证书吊销列表(CRL)。
联机响应者: 联机响应程序服务对特定证书的吊销状态请求进行解码,评估这些证书的状态,并发送回包含所请求证书状态信息的已签名响应。
网络设备注册服务: 网络设备注册服务允许路由器和其他没有域帐户的网络设备获取证书。
TPM 密钥证明: 允许证书颁发机构验证私钥是否受基于硬件的 TPM 保护,并且 TPM 是 CA 信任的私钥。 TPM 密钥证明可防止将证书导出到未经授权的设备,并且可以将用户标识绑定到设备。
证书注册策略 Web 服务: 证书注册策略 Web 服务使用户和计算机能够获取证书注册策略信息。
证书注册 Web 服务: 证书注册 Web 服务使用户和计算机能够通过 Web 服务执行证书注册。 与证书注册策略 Web 服务一起,当客户端计算机不是域成员或域成员未连接到域时,这将启用基于策略的证书注册。
优点
可以使用 AD CS 将人员、计算机或服务的标识绑定到相应的私钥来增强安全性。 AD CS 提供了一种经济高效、高效且安全的方法来管理证书的分发和使用。 除了绑定标识和私钥之外,AD CS 还包括允许你管理证书注册和吊销的功能。
Active Directory 中的现有终结点标识信息用于注册证书,允许自动将信息插入证书。 Active Directory 组策略还可用于指定允许哪些用户和计算机使用哪种类型的证书。 组策略配置支持基于角色或基于属性的访问控制。
AD CS 支持的应用程序包括安全/多用途 Internet 邮件扩展(S/MIME)、安全无线网络、虚拟专用网络(VPN)、Internet 协议安全性(IPsec)、加密文件系统(EFS)、智能卡登录、安全套接字层/传输层安全性(SSL/TLS)和数字签名。