Windows 2008之PKI实战2:注册和漫游

在以前,自动注册是Windows中WINLOGON过程中的一部分,将它暴露给更多的攻击。实际上,所有的 Windows NT 服务已经被重新设计架构用作一个WMI 任务。这意味着Windows Vista 和 Windows Server 2008组件不会有象Windows Server 2003 和Windows XP那么多的攻击面。

证书到期前提前通知特性也被添加进来。换句话说,它就是当一个证书快要终止或已经终止的时候通 知用户。相关的场景是当自动注册没有启用,计算机不能自动更新或代表用户注册一张证书。

凭据漫游

象前面提到的,凭据漫游在Windows Server 2003 SP1中已经被引入,现在是Windows Server 2008的 一个组成部分。

凭据漫游的目的是减少不同计算机的凭据复制,它通过活动目录将加密密钥复制到用户的计算机。

当用户登录计算机的时候,认证信息发送到服务器,在服务器上公钥和私钥被交换。通常,用户的凭 据将在工作站之间传送通过使用漫游配置文件,这会引起负载增加。

通过凭据漫游,用户的公钥和私钥将跟着用户活动目录对象不管他们使用哪台计算机。对于活动或漫 游用户,这提高了邮件保护、用户认证和部署智能卡的能力。

注册和凭据漫游的演示

在Windows Server 2008中,注册用户接口被提高了很多。同时,对于可用性、灵活性和支持性都得到 增强。为了简单起见,我们将从同一台计算机即我们的CA服务器注册一张新证书。通常情况下,我们能够 从域内任何一台计算机或服务器上注册。我们打开证书MMC。位于我们当前证书用户树下的个人文件夹将 显示该用户的当前所有证书。如图14所示。

在该演示中,我们将请求一张新用户证书。我们能够通过Action菜单来完成它。注册用户接口给我们 提供了很多新选项,与以前的版本相比。我们将只配置该服务器接受一些不同类型的认证,但是我们能够 看到这些可用选项,即使它们没有被使用。如图15所示。

时间: 2024-10-28 11:59:05

Windows 2008之PKI实战2:注册和漫游的相关文章

Windows 2008之PKI实战3:证书服务

委派注册代理功能允许准确地定义一个注册代理能够做什么不能够做什么.它允许你为某人委派一个临时的智能卡注册,象组建一个接待员,万一某个用户将他/她的智 能卡丢在家中. 接下来增加的特性是被称为网络设备注册服务,或SCEP,被集成到本地安装中.这是一个简单的特性,它允许用户通过正常的Windows安装为它们的凭据注册. 易管理性是一个重要的功能,它被大大地提高了.例如,性能计数器已经被添加到证书服务中,允许PKI管理员更容易地监控整个组织的CA的性能. 证书服务易管理性演示 Windows Reli

Windows 2008之PKI实战1:管理

Microsoft PKI 在Windows Server 2008中做了很多改进,并增加了许多功能,这些功能中的首要的就 是证书生命周期管理,尤其关于计算机和用户证书的自动注册.在Windows Server 2008中,通过使用证 书漫游新特性来实现了证书生命周期管理的增强.我们将在后面描述这一特性. 对开发人员来说一个更通用的实践是将PKI基础结构和公司的商业应用紧密联系起来.一个很好的例子 就是公司在寻找将智能卡或强身份认证集成到它自己拥有的软件当中.新的证书注册应用程序接口允许该 功能

Windows 2008之PKI实战4:吊销

在线吊销服务是Windows Server 2008中引入的一个新组件.是OCSP 协议的Microsoft 部署.该功能 加上新的OCSP 应答服务,是一个大的提高与基于CRL的吊销相比.客户端的OCSP 客户端已经被重新设计 架构,加上OCSP响应程序.此外,OCSP方法已经被集成到Kerberos和SSL中. 新的OCSP响应程序以扩展性为目的而设计的,能够被部署证书服务器或完全分离的计算机上.该服务 也能够被应用到多个群集计算机.该服务器端的组件足够灵活能够从多个源中获取吊销信息.该响应

Windows 2008 R2实战之二:从介质安装 AD DS

从介质安装 AD DS可以使用 Ntdsutil.exe 为在域中创建的其他域控制器创建安装介质.通过从介质安装,可以最大程度地减少网络上目录数据的复制.有利于在远程站点中更高效地安装其他域控制器. 实验环境: 在Windows 2008 R2实战之一:活动目录部署的实验环境下,新增了一台http://www.aliyun.com/zixun/aggregation/13975.html">Windows Server 2008 R2服务器,计算机名Win2008R2CNDC01. 实验要

实战Windows 2008多元密码策略

在Windows2000/2003域中只存在一套密码策略,就是默认的域安全策略,它无法针对每个域用户去设置不同的密码策略,而在Windows2008域中提供了多元化密码策略,这就使得我们可以同一域环境中实现多套密码策略 在实现多元化密码策略之前,需要我们将域功能级别提升到Windows 2008或者Windows 2008R2 这是默认的域安全策略,可以看到密码策略没有做任何限制,也就是说,我现再的域用户,可以将密码长度任意设置,可以是纯字母,也可以是纯数字 在本实验中,我希望将IT部OU中的用

Hyper-V实战之多个Windows 2008安装

在Hyper-V中利用差异磁盘和SYSPREP技术安装多个Windows 2008 Windows 2008 的横空出世,让虚拟化技术向前更进一步.其自带的Hyper-V技术,相信很多喜欢尝新的朋友已经在使用了. 针对Hyper-V方面的介绍不予于多说,网络上大把的资料,而这篇博文的主要目的就是分享下在使用Hyper-V过程中,如何利用差异磁盘和SYSPREP功能建设立多个Windows Server 2008的安装. 签于成本的原因,在学习了解一项新的技术或是产品时,在没有部署到生产环境之中前

Windows 2008 R2实战之十八:WDS(部署服务)之二

一.有关说明 1.捕获映像.一种将客户端计算机启动到的启动映像类型,用于以 .wim 文件形式捕获操作系统.必须首先创建捕获映像,然后才能创建自定义的安装映像.在使用捕获映像进行捕获之前,必须在待捕获的计算机上运行Sysprep,否则会出现如下图现象(要捕获的卷没有) 2.发现映像.一种可用于在未启用预启动执行环境 (PXE) 的计算机上安装操作系统的启动映像类型.启动计算机进入发现映像时,Windows 部署服务客户端将查找有效的 Windows 部署服务服务器,然后便可以选择希望安装的安装映

Gene6 FTP在windows 2008上面破解后无法启动

  Gene6 FTP 是一款很好用的FTP服务器软件,功能可以说不比 SERV-U 差,绿色资源网所有服务器全部都是步骤的 G6 FTP. 最近绿色资源网上了一台 windows 2008 企业版的服务器.也和往常一样下载了绿色版本 ,结果 Gene6 Ftp 在 win 2008 上面无法用 2003 的方法来绿色没办法只好又下载了安装版本 v3.10.0.2 ,下载安装.汉化 一切正常,当进行注册的时候出问题了 ,把 registration-key.dat 复制到 安装目录后 , G6

Windows 2003 AD升级到Windows 2008 AD

下面是一张实验图环境是这样的; 现有一家企业AD基础架构是win2003 AD,希望获得更多的功能,决定把现有的2003 AD升级为2008 AD; 域名是:zhkd.ad DC1:ZSDC02(windows 2003 AD) DC2:ZSDC03(在此台服务器上安装windows 2008 并升级AD) 升级要求: 1.必须是SP1及以上版本的Windows 2003才能升级到Server 2008: 2.只允许相同版本之间,或者低版本向高版本升级,比如说windows 2003标准版,升级