发布日期: 2016年9月
适用于: Windows Server 2012 R2,Windows Server 2012
本文档提供对 Windows Server® 2012 中 Active Directory 证书服务 (AD CS) 的概述。 AD CS 是允许你构建公钥基础机构 (PKI) 并为你的组织提供公钥加密、数字证书和数字签名功能的服务器角色。
是否就是…
备注
若要评论本内容或者针对此处提供的信息提问,请使用我们的反馈指导。
AD CS 提供可自定义的服务,用来颁发和管理采用公钥技术的软件安全系统中所使用的数字证书。
AD CS 提供的数字证书可用于对电子文档和消息进行加密和数字签名。 这些数字证书可用于对计算机、用户或网络上的设备帐户进行身份验证。 数字证书用于提供:
通过加密确保机密性
通过数字签名确保完整性
通过将证书密钥和计算机、用户或网络上的设备帐户相关联进行身份验证
通过将个人、设备或服务的标识与相应的私钥进行绑定,你可使用 AD CS 来增强安全性。 AD CS 为你提供了一种对证书的分发和使用进行管理的经济、高效和安全的方法。
AD CS 所支持的应用领域包括安全/多用途 Internet 邮件扩展 (S/MIME)、安全的无线网络、虚拟专用网络 (VPN)、Internet 协议安全 (IPsec)、加密文件系统 (EFS)、智能卡登录、安全套接字层/传输层安全性 (SSL/TLS) 以及数字签名。
Windows Server 2012 中的 AD CS 有多项更改,而且“AD CS 中的新功能”文章 (https://go.microsoft.com/fwlink/?LinkID=224385) 介绍了这些更改。
可通过服务器管理器执行 AD CS 角色服务的安装。 可安装以下角色服务:
| 角色服务 | 说明 |
|---|---|
| 证书颁发机构 (CA) | 根和从属 CA 用于向用户、计算机和服务颁发证书,并管理证书的有效性。 |
| Web 注册 | CA Web 注册可使用户通过 Web 浏览器连接到 CA,以便申请证书和检索证书吊销列表 (CRL)。 |
| 联机响应程序 | 联机响应程序服务可解码对特定证书的吊销状态申请,评估这些证书的状态,并发送回包含所申请证书状态信息的签名响应。 |
| 网络设备注册服务 | 网络设备注册服务 (NDES) 可使路由器和其他没有域帐户的网络设备获取证书。 |
| 证书注册策略 Web 服务 | 证书注册策略 Web 服务使用户和计算机能够获取证书注册策略信息。 |
| 证书注册 Web 服务 | 证书注册 Web 服务是一个 Active Directory 证书服务 (AD CS) 角色服务,该服务使用户和计算机能够使用 HTTPS 协议执行证书注册。 一起使用时,证书注册 Web 服务和证书注册策略 Web 服务可以为以下计算机启用基于策略的证书注册 - 未连接到域的域成员计算机 - 非域成员计算机 |
下表提供有关评估 AD CS 的其他资源。
| 内容类型 | 参考 |
|---|---|
| 产品评估 | - 测试实验指南:部署 AD CS 双层 PKI 层次结构 - 测试实验指南:演示基于密钥的续订 - 测试实验室指南最小模块:使用证书注册 Web 服务的跨林证书注册 |
| 社区资源 | - 文档和信息的社区目录:Windows PKI 文档参考和库 - 常见问题 (FAQ) 列表 Active Directory 证书服务 (AD CS) 公钥基础结构 (PKI) 常见问题 (FAQ) - 支持论坛:Windows Server 安全论坛 - 产品团队博客:Windows PKI 博客 - 支持团队博客:询问目录服务团队 - 脚本存储库:TechNet 脚本中心存储库搜索认证、证书或 PKI。 - 社区技术概述:Active Directory 证书服务 (AD CS) 概述 |
| 相关技术 | Active Directory 域服务 Active Directory 权限管理服务 Active Directory 联合身份验证服务 Active Directory 轻型目录服务 |
备注
若要评论本内容或者针对此处提供的信息提问,请使用我们的反馈指导。