2008R2Win7管理二十二ADCS新功能詳解及安裝

2008R2Win7管理二十二ADCS新功能詳解及安裝

本篇在上篇的基礎上發展,有了web,甚至後續有exchange和ocs及其餘微軟產品,咱們可能須要證書的配合才能工做,本篇將環境先作好而後下篇在web上配置和啓用證書等.

2008R2上的ADCS的更新以下

Windows Server? 2008 R2 中的 Active Directory(R) 證書服務 (AD CS) 引入了許多功能和服務，這些功能和服務容許更加靈活的公鑰基礎結構 (PKI) 部署，下降了管理成本，並對網絡訪問保護 (NAP) 部署提供了更好的支持。

下表中的 AD CS 功能和服務是 Windows Server 2008 R2 中的新增功能。

功能 優勢

功能1:證書註冊 Web 服務和證書註冊策略 Web 服務

優勢1:支持在 HTTP 上的證書註冊。

功能2:支持跨林證書註冊

優勢2:支持在多林部署中的證書頒發機構 (CA) 合併。

功能3:改進了對大批量 CA 的支持

優勢3:減少了某些 NAP 部署和其餘大批量 CA 的 CA 數據庫大小。

證書註冊 Web 服務和證書註冊策略 Web 服務

證書註冊 Web 服務是新增的 AD CS 角色服務，支持經過使用現有方法（如自動註冊）在 HTTP 上的基於策略的證書註冊。 Web 服務充當客戶端計算機與 CA 之間的一個代理（這使得客戶端計算機沒必要與 CA 直接通訊），同時經過 Internet 進行證書註冊和跨林證書註冊。

證書註冊 Web 服務表明客戶端計算機提交請求，且必須信任該服務以進行委派。 此 Web 服務的 Extranet 部署擴大了網絡***的威脅，某些組織可能會選擇不信任該服務以進行委派。 在這些狀況下，能夠配置證書註冊 Web 服務和頒發 CA 以僅接受使用現有證書籤署的續訂請求（不須要委派）。

證書註冊 Web 服務還具備如下要求：

* 具備 Windows Server 2008 R2 架構的 Active Directory 林

* 運行 Windows Server 2008 R二、Windows Server 2008 或 Windows Server 2003 的企業 CA。

* 跨林證書註冊須要運行 Windows Server 的 Enterprise 或 Datacenter 版的企業 CA。

* 運行 Windows? 7 的客戶端計算機。

在 Windows Server 2008 R2 的全部版本中都提供證書註冊 Web 服務。

支持跨林證書註冊

在引入跨林註冊以前，CA 僅能夠向相同林的成員頒發證書，且每一個林都有它本身的 PKI。 藉助對 LDAP 引用的附加支持，Windows Server 2008 R2 CA 能夠跨林頒發具備雙向信任關係的證書。

經過支持跨林證書註冊，具備多個 Active Directory 林且按林進行 PKI 部署的組織能夠受益於 CA 合併。

注意:

* Active Directory 林要求 Windows Server 2003 林功能級別和雙向可傳遞信任。

* 運行 Windows XP、Windows Server 2003 和 Windows Vista? 的客戶端計算機不須要更新來支持跨林證書註冊。

在運行 Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter 的企業 CA 上提供此功能。

改進了對大批量 CA 的支持

做用

已使用 IPsec 強制或其餘大批量 CA 部署 NAP 的組織能夠選擇繞過某些 CA 數據庫操做來減少 CA 數據庫大小。

NAP 健康證書一般會在頒發後的幾小時內到期，且 CA 可能會天天爲每臺計算機頒發多個證書。默認狀況下，會將每一個申請和已頒發證書的記錄存儲在 CA 數據庫中。大批量的申請會提升 CA 數據庫的增加速度和管理成本。

注意事項

由於頒發的證書並不存儲在 CA 數據庫中，因此不可能吊銷證書。 可是，維護大批量短效證書的證書吊銷列表一般不現實，也並沒有益處。 所以，某些組織可能會選擇使用此功能並接受關於吊銷的限制。

使用服務器管理角色來進行安裝ADCS證書服務

證書服務簡要說明,安裝證書服務後沒法再對計算機進行更名操做

選擇證書服務功能,新功能中的-證書註冊web服務須要在其餘角色安裝完畢才能安裝,因此本篇先不安裝.

選擇類型,通常爲企業

第一次配置爲根CA,後續纔有子ca

之前沒有,那麼新建吧

選擇加冕服務提供程序

CA的名稱,可進行自定義

證書有效日期

選擇數據庫存放地址,實驗環境默認,生產環境建議單獨存放

訪問證書服務的時候使用的驗證方式

服務器證書

角色確認

安裝完成後重啓電腦以避免有其餘意外.雖然adcs並不要求重啓