51CTO首页51CTO博客我的博客 搜索
社区:论坛博客下载读书更多

ccfxny的博客
http://ccfxny.blog.51cto.com 【复制】 【订阅】
原创:124翻译:1转载:6
博 客|图库|写博文|帮 助

ccfxny 的BLOG

写留言邀请进圈子发消息 加友情链接进家园 加好友

博客统计信息

51cto推荐博客
用户名:ccfxny
文章数:131
评论数:838
访问量:324037
无忧币:8156
博客积分:3794
博客等级:7
注册日期:2008-03-31

热门文章

搜索BLOG文章

我的技术圈(0)

更多>>

最近访客

最新评论

51CTO推荐博文

更多>>

友情链接

2008R2Win7管理二十二ADCS新功能详解及安装
2009-10-10 07:54:22
标签:功能 管理 详解 win7 ADCS
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://ccfxny.blog.51cto.com/350339/210693
2008R2Win7管理二十二ADCS新功能详解及安装
本篇在上篇的基础上发展,有了web,甚至后续有exchange和ocs及其他微软产品,我们可能需要证书的配合才能工作,本篇将环境先做好然后下篇在web上配置和启用证书等.
2008R2上的ADCS的更新如下
Windows Server? 2008 R2 中的 Active Directory(R) 证书服务 (AD CS) 引入了许多功能和服务,这些功能和服务允许更加灵活的公钥基础结构 (PKI) 部署,降低了管理成本,并对网络访问保护 (NAP) 部署提供了更好的支持。
下表中的 AD CS 功能和服务是 Windows Server 2008 R2 中的新增功能。
功能 优点
功能1:证书注册 Web 服务和证书注册策略 Web 服务
优点1:支持在 HTTP 上的证书注册。
功能2:支持跨林证书注册
优点2:支持在多林部署中的证书颁发机构 (CA) 合并。
功能3:改进了对大批量 CA 的支持
优点3:减小了某些 NAP 部署和其他大批量 CA 的 CA 数据库大小。
证书注册 Web 服务和证书注册策略 Web 服务
证书注册 Web 服务是新增的 AD CS 角色服务,支持通过使用现有方法(如自动注册)在 HTTP 上的基于策略的证书注册。 Web 服务充当客户端计算机与 CA 之间的一个代理(这使得客户端计算机不必与 CA 直接通信),同时通过 Internet 进行证书注册和跨林证书注册。
证书注册 Web 服务代表客户端计算机提交请求,且必须信任该服务以进行委派。 此 Web 服务的 Extranet 部署扩大了网络攻击的威胁,某些组织可能会选择不信任该服务以进行委派。 在这些情况下,可以配置证书注册 Web 服务和颁发 CA 以仅接受使用现有证书签署的续订请求(不需要委派)。
证书注册 Web 服务还具有以下要求:
* 具有 Windows Server 2008 R2 架构的 Active Directory 林
* 运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的企业 CA。
* 跨林证书注册需要运行 Windows Server 的 Enterprise 或 Datacenter 版的企业 CA。
* 运行 Windows? 7 的客户端计算机。
在 Windows Server 2008 R2 的所有版本中都提供证书注册 Web 服务。
支持跨林证书注册
在引入跨林注册之前,CA 仅可以向相同林的成员颁发证书,且每个林都有它自己的 PKI。 借助对 LDAP 引用的附加支持,Windows Server 2008 R2 CA 可以跨林颁发具有双向信任关系的证书。
通过支持跨林证书注册,具有多个 Active Directory 林且按林进行 PKI 部署的组织可以受益于 CA 合并。
注意:
* Active Directory 林要求 Windows Server 2003 林功能级别和双向可传递信任。
* 运行 Windows XP、Windows Server 2003 和 Windows Vista? 的客户端计算机不需要更新来支持跨林证书注册。
在运行 Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter 的企业 CA 上提供此功能。
改进了对大批量 CA 的支持
作用
已使用 IPsec 强制或其他大批量 CA 部署 NAP 的组织可以选择绕过某些 CA 数据库操作来减小 CA 数据库大小。
NAP 健康证书通常会在颁发后的几小时内到期,且 CA 可能会每天为每台计算机颁发多个证书。默认情况下,会将每个申请和已颁发证书的记录存储在 CA 数据库中。大批量的申请会提高 CA 数据库的增长速度和管理成本。
注意事项
因为颁发的证书并不存储在 CA 数据库中,所以不可能吊销证书。 但是,维护大批量短效证书的证书吊销列表通常不现实,也并无益处。 因此,某些组织可能会选择使用此功能并接受关于吊销的限制。
使用服务器管理角色来进行安装ADCS证书服务
clip_image002
证书服务简要说明,安装证书服务后无法再对计算机进行改名操作
clip_image004
选择证书服务功能,新功能中的-证书注册web服务需要在其他角色安装完毕才能安装,所以本篇先不安装.
clip_image006
选择类型,一般为企业
clip_image008
第一次配置为根CA,后续才有子ca
clip_image010
以前没有,那么新建吧
clip_image012
选择加冕服务提供程序
clip_image014
CA的名称,可进行自定义
clip_image016
证书有效日期
clip_image018
选择数据库存放地址,实验环境默认,生产环境建议单独存放
clip_image020
访问证书服务的时候使用的验证方式
clip_image022
服务器证书
clip_image024
角色确认
clip_image026
安装完成后重启电脑以免有其他意外.虽然adcs并不要求重启

本文出自 “ccfxny的博客” 博客,请务必保留此出处http://ccfxny.blog.51cto.com/350339/210693

分享至
更多
一键收藏,随时查看,分享好友!
0人
 了这篇文章
类别:AD网域技术圈()┆阅读()┆评论() ┆ 推送到技术圈返回首页
上一篇 2008R2Win7管理二十一Web之IIS7.5 下一篇 2008R2Win7管理二十三证书申请及安装配置

相关文章

文章评论

 
2009-10-15 09:42:37
清晨昏昏沉沉的我过来坐沙发。
博主回复:
2009-10-15 09:56:04
汪兆鹏说第一个坐沙发的必将长命百岁啊哈,呵呵

2009-12-20 15:14:58
我啊...才来...不知道北北去那地方了...何时再来沙发..!
博主回复:
2009-12-21 08:08:05
关注度下降

2009-12-27 08:13:58
我正常安装了ADCA-企业根CA....

昨天买了三本台湾作家戴有炜..的书...

2008
博主回复:
2009-12-27 21:18:27
戴有炜又写2008了?真邪恶,我找找去

2009-12-28 08:31:32
我认为三本书中有的还好....不过花了快150元...!

总觉得.衣服可以不买..书不能不买...!

看过好几次...真在做统一沟通的时候...买了它...

2003版的三本我也有..不过有一本不知道飞那去了AD...!

在市面上看了好几本2008的书..感觉他的还是合我的心...!
博主回复:
2009-12-28 13:58:54
恩,他的书不错

 

发表评论            

【技术门诊】专家解析:软考重点难点及应试技巧
昵  称:
登录  快速注册
验证码:

请点击后输入验证码博客过2级,无需填写验证码

内  容: