Active Directory 憑證服務概觀
發行︰ 2016年9月
適用於: Windows Server 2012 R2、Windows Server 2012
本文提供 Windows Server® 2012 中的 Active Directory 憑證服務 (AD CS) 的概觀。 AD CS 是一種伺服器角色,可以讓您為組織建立公開金鑰基礎結構 (PKI),並提供公開金鑰密碼編譯、數位憑證以及數位簽章功能。
您是不是要尋找…
注意
若要對此內容發表意見或針對本文的資訊提出問題,請使用我們的意見反應指南。
角色說明
AD CS 提供簽發及管理數位憑證的自訂服務,這些服務可在運用公開金鑰技術的軟體安全性系統中使用。
AD CS 提供的數位憑證可以用來加密和數位簽署電子文件與訊息。 這些數位憑證可以用來驗證網路上的電腦、使用者或裝置帳戶。 數位憑證可用於提供:
機密性 (透過加密)
完整性 (透過數位簽章)
驗證,透過將憑證金鑰與電腦網路上的電腦、使用者或裝置帳戶關聯
實際應用
您可以將個人、裝置或服務的識別身分繫結到對應的私密金鑰,進而使用 AD CS 來加強安全性。 AD CS 提供您一個合乎成本效益且有效的安全方法來管理憑證的發佈與使用。
AD CS 支援的應用程式包括安全多用途網際網路郵件延伸 (S/MIME)、安全無線網路、虛擬私人網路 (VPN)、網際網路通訊協定安全性 (IPsec)、加密檔案系統 (EFS)、智慧卡登入、安全通訊端層/傳輸層安全性 (SSL/TLS) 以及數位簽章。
新功能和變更的功能
在 Windows 2012 Server 中,我們對 AD CS 功能進行了多項改良,請參閱 AD CS 的新功能文章 (https://go.microsoft.com/fwlink/?LinkID=224385) 了解這些變更。
伺服器管理員資訊
AD CS 角色服務的安裝可以透過伺服器管理員執行。 您可以安裝下列角色服務:
| 角色服務 | 描述 |
|---|---|
| 憑證授權單位 (CA) | 您可以使用根 CA 與次級 CA 來將憑證簽發給使用者、電腦和服務,並管理憑證的有效性。 |
| 網頁註冊 | CA 網頁註冊可讓使用者藉由網頁瀏覽器連線到 CA,以要求憑證及擷取憑證撤銷清單 (CRL)。 |
| 線上回應 | 線上回應服務可解碼特定憑證的撤銷狀態要求、評估這些憑證的狀態,以及送回含有所要求憑證狀態資訊的簽署回應。 |
| 網路裝置註冊服務 | 網路裝置註冊服務 (NDES) 可讓沒有網域帳戶的路由器與其他網路裝置取得憑證。 |
| 憑證註冊原則 Web 服務 | 憑證註冊原則 Web 服務可讓使用者及電腦取得憑證註冊原則資訊。 |
| 憑證註冊 Web 服務 | 憑證註冊 Web 服務是一種 Active Directory 憑證服務 (AD CS) 角色服務,可以讓使用者及電腦使用 HTTPS 通訊協定執行憑證註冊。 憑證註冊 Web 服務與憑證註冊原則 Web 服務一起使用時,可以為下列電腦啟用以原則為基礎的憑證註冊: - 未連線至網域的網域成員電腦 - 不是網域成員的電腦 |
另請參閱
下表提供其他評估 AD CS 的資源。
| 內容類型 | 參考 |
|---|---|
| 產品評估 | - 測試實驗室指南:部署 AD CS 兩層式 PKI 階層 - 測試實驗室指南:示範金鑰型更新 - 測試實驗室指南小單元:使用憑證註冊 Web 服務進行跨樹系憑證註冊 |
| 社群資源 | - 文件與資訊的社群目錄:Windows PKI 文件參考資料與文件庫 - 常見問題集 (FAQ) 清單 Active Directory 憑證服務 (AD CS) 公開金鑰基礎結構 (PKI) 常見問題集 (FAQ) - 支援論壇:Windows Server 安全性論壇 - 產品小組部落格:Windows PKI 部落格 - 支援小組部落格:詢問目錄服務小組 - 指令碼存放庫:在 TechNet 指令碼中央存放庫 搜尋 Certification (憑證)、Certificate (憑證) 或 PKI。 - 社群技術概觀:Active Directory 憑證服務 (AD CS) 概觀 |
| 相關技術 | Active Directory 網域服務 Active Directory Rights Management Services Active Directory Federation Services Active Directory 輕量型目錄服務 |
注意
若要對此內容發表意見或針對本文的資訊提出問題,請使用我們的意見反應指南。