公钥基础设施促进安全行业各个部门致力于维护和改善与PKI技术相关的方方面面。从根证书颁发机构到X.509认证,都证明了在保护服务器基础设施及数据方面的成功。
考虑到现代Windows服务器环境中的角色和服务,微软服务器基础设施更是如此。这些服务和角色专为Windows Server PKI部署存在——其中最重要的是活动目录证书服务(AD CS)角色。
Windows服务器基础设施中的安全机构的改善,Windows管理员应该加速了解各自环境中的改进和漏洞。让我们深入研究Windows Server 2012为公钥基础设施带来的较之以前Windows服务器版本的更好的改进。
Windows Server PKI增加PowerShell功能
毫无疑问,其中吸引Windows服务器管理员的一个改善是Windows PowerShell在AD CS方面的新增功能。在Windows Server 2012之前,PowerShell在在证书权威配置中只扮演了一个角色。Windows Server 2012发布后,PowerShell内置了丰富的AD CS部署方法。这在Windows管理员想要通过编写AD CS角色或服务部署脚本而节省时间时,尤其有用。
例如,如果管理员想通过脚本实现在域中网络设备登记服务安装,而该域使用的是远程根证书。Windows Server 2012中的Install-AdcsNetworkDeviceEnrollmentService cmdlet可以做到这一点。此外,在管理分散在不同地理位置的企业网络时,脚本的这种能力可以为管理员节省大量的时间。
Windows Server 2012中的AD CS角色服务
任何有经验的Windows管理员都会告诉你,同一操作系统的不同版本并不是完全相同的。例如,Windows Server 2008 Web版就与标准版不同,与企业版也不同。就Windows Server PKI而言,高级版本与普通的差异就非常大。
幸运的是,Windows Server 2012 AD CS的所有这一切发生了改变。例如,在Windows Server 2008标准版中,数字证书认证机构(现在称为角色服务)是可用的,但前面提到的网络设备登记服务势不可用的。在Windows Server 2012中,6个AD CS角色服务在所有Windows Server 2012版本中都可用。这在微软的移动领域路人皆知,许多业内人士都很高兴看到微软对这个问题的处理。
微软似乎正在加大Windows服务器域集成PKI的力度。每个新推出的Windows服务器版本似乎比前一版本都有大大的改进。而上面提到的PKI改进不应理解为是附加功能。它们表明了Windows Server 2012创造者在推动PKI和保护企业安全方面的奉献精神