本篇在上篇的基礎上發展,有了web,甚至後續有exchange和ocs及其他微軟產品,我們可能需要認證的配合才能工作,本篇將環境先做好然後下篇在web上配置和啟用認證等.
2008R2上的ADCS的更新如下
Windows Server? 2008 R2 中的 Active Directory(R) 認證服務 (AD CS) 引入了許多功能和服務,這些功能和服務允許更加靈活的公開金鑰基礎結構 (PKI) 部署,降低了管理成本,並對網路存取保護 (NAP) 部署提供了更好的支援。
下表中的 AD CS 功能和服務是 Windows Server 2008 R2 中的新增功能。
功能 優點
功能1:憑證註冊 Web 服務和憑證註冊原則 Web 服務
優點1:支援在 HTTP 上的憑證註冊。
功能2:支援跨林憑證註冊
優點2:支援在多林部署中的憑證授權單位 (CA) 合并。
功能3:改進了對大批量 CA 的支援
優點3:減小了某些 NAP 部署和其他大批量 CA 的 CA 資料庫大小。
憑證註冊 Web 服務和憑證註冊原則 Web 服務
憑證註冊 Web 服務是新增的 AD CS 角色服務,支援通過使用現有方法(如自動註冊)在 HTTP 上的基於策略的憑證註冊。 Web 服務充當用戶端電腦與 CA 之間的一個代理(這使得用戶端電腦不必與 CA 直接通訊),同時通過 Internet 進行憑證註冊和跨林憑證註冊。
憑證註冊 Web 服務代表用戶端電腦提交請求,且必須信任該服務以進行委派。 此 Web 服務的 Extranet 部署擴大了網路攻擊的威脅,某些組織可能會選擇不信任該服務以進行委派。 在這些情況下,可以配置憑證註冊 Web 服務和頒發 CA 以僅接受使用現有認證簽署的續訂請求(不需要委派)。
憑證註冊 Web 服務還具有以下要求:
* 具有 Windows Server 2008 R2 架構的 Active Directory 林
* 運行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的企業 CA。
* 跨林憑證註冊需要運行 Windows Server 的 Enterprise 或 Datacenter 版的企業 CA。
* 運行 Windows? 7 的用戶端電腦。
在 Windows Server 2008 R2 的所有版本中都提供憑證註冊 Web 服務。
支援跨林憑證註冊
在引入跨林註冊之前,CA 僅可以向相同林的成員頒發認證,且每個林都有它自己的 PKI。 藉助對 LDAP 引用的附加支援,Windows Server 2008 R2 CA 可以跨林頒發具有雙向信任關係的認證。
通過支援跨林憑證註冊,具有多個 Active Directory 林且按林進行 PKI 部署的組織可以受益於 CA 合并。
注意:
* Active Directory 林要求 Windows Server 2003 林功能層級和雙向可傳遞信任。
* 運行 Windows XP、Windows Server 2003 和 Windows Vista? 的用戶端電腦不需要更新來支援跨林憑證註冊。