本篇在上篇的基础上发展,有了web,甚至后续有exchange和ocs及其他微软产品,我们可能需要证书的配合才能工作,本篇将环境先做好然后下篇在web上配置和启用证书等.
2008R2上的ADCS的更新如下
Windows Server? 2008 R2 中的 Active Directory(R) 证书服务 (AD CS) 引入了许多功能和服务,这些功能和服务允许更加灵活的公钥基础结构 (PKI) 部署,降低了管理成本,并对网络访问保护 (NAP) 部署提供了更好的支持。
下表中的 AD CS 功能和服务是 Windows Server 2008 R2 中的新增功能。
功能 优点
功能1:证书注册 Web 服务和证书注册策略 Web 服务
优点1:支持在 HTTP 上的证书注册。
功能2:支持跨林证书注册
优点2:支持在多林部署中的证书颁发机构 (CA) 合并。
功能3:改进了对大批量 CA 的支持
优点3:减小了某些 NAP 部署和其他大批量 CA 的 CA 数据库大小。
证书注册 Web 服务和证书注册策略 Web 服务
证书注册 Web 服务是新增的 AD CS 角色服务,支持通过使用现有方法(如自动注册)在 HTTP 上的基于策略的证书注册。 Web 服务充当客户端计算机与 CA 之间的一个代理(这使得客户端计算机不必与 CA 直接通信),同时通过 Internet 进行证书注册和跨林证书注册。
证书注册 Web 服务代表客户端计算机提交请求,且必须信任该服务以进行委派。 此 Web 服务的 Extranet 部署扩大了网络攻击的威胁,某些组织可能会选择不信任该服务以进行委派。 在这些情况下,可以配置证书注册 Web 服务和颁发 CA 以仅接受使用现有证书签署的续订请求(不需要委派)。
证书注册 Web 服务还具有以下要求:
* 具有 Windows Server 2008 R2 架构的 Active Directory 林
* 运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的企业 CA。
* 跨林证书注册需要运行 Windows Server 的 Enterprise 或 Datacenter 版的企业 CA。
* 运行 Windows? 7 的客户端计算机。
在 Windows Server 2008 R2 的所有版本中都提供证书注册 Web 服务。
支持跨林证书注册
在引入跨林注册之前,CA 仅可以向相同林的成员颁发证书,且每个林都有它自己的 PKI。 借助对 LDAP 引用的附加支持,Windows Server 2008 R2 CA 可以跨林颁发具有双向信任关系的证书。
通过支持跨林证书注册,具有多个 Active Directory 林且按林进行 PKI 部署的组织可以受益于 CA 合并。
注意:
* Active Directory 林要求 Windows Server 2003 林功能级别和双向可传递信任。
* 运行 Windows XP、Windows Server 2003 和 Windows Vista? 的客户端计算机不需要更新来支持跨林证书注册。