Обзор служб сертификатов Active Directory
Опубликовано: Сентябрь 2016
Применимо к: Windows Server 2012 R2, Windows Server 2012
В этом документе представлен обзор служб сертификатов Active Directory (AD CS) в Windows Server® 2012.AD CS — это роль сервера, которая позволяет организации создать инфраструктуру открытых ключей (PKI) и использовать шифрование с открытым ключом, цифровые сертификаты и цифровые подписи.
Возможно, вы имели в виду...
Примечание
Чтобы добавить комментарии к этим материалам или задать вопросы по ним, используйте наши рекомендации по обратной связи.
Описание роли
Службы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами.
Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
конфиденциальности с помощью шифрования;
целостности с помощью цифровых подписей;
проверки подлинности с помощью привязывания ключей сертификата к учетным записям компьютеров, пользователей и устройств в сети.
Практическое применение
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу.AD CS — это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов.
В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи.
Новые и измененные функции
В AD CS в Windows Server 2012 был сделан ряд изменений, описанных в статье Новые возможности AD CS (https://go.microsoft.com/fwlink/?LinkID=224385).
Сведения о диспетчере сервера
Установка служб ролей AD CS может быть выполнена с помощью диспетчера сервера.Можно установить следующие службы ролей.
| Служба роли | Описание |
|---|---|
| Центр сертификации (ЦС) | Корневые и подчиненные ЦС используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления действительностью сертификатов. |
| Регистрация через Интернет | Регистрация ЦС через Интернет позволяет пользователям подключаться к ним с помощью веб-браузера, чтобы запрашивать сертификаты и получать списки отзыва сертификатов (CRL). |
| Сетевой ответчик | Служба сетевого ответчика декодирует запросы состояния отзыва для конкретных сертификатов, оценивает их состояние и отправляет обратно подписанный ответ, содержащий сведения о состоянии запрошенного сертификата. |
| Служба подачи заявок на сетевые устройства | Служба подачи заявок на сетевые устройства (NDES) позволяет получать сертификаты для маршрутизаторов и других сетевых устройств, не имеющих доменных учетных записей. |
| Веб-служба политик регистрации сертификатов | Веб-служба политик регистрации сертификатов позволяет пользователям и компьютерам получать сведения о политиках регистрации сертификатов. |
| Веб-служба регистрации сертификатов | Веб-служба регистрации сертификатов — это служба роли AD CS, позволяющая регистрировать сертификаты пользователям и компьютерам с помощью протокола HTTPS.Совместное использование веб-службы регистрации сертификатов и веб-службы политик регистрации сертификатов позволяет использовать регистрацию сертификатов на основе политики для: - компьютеров домена, не подключенных к домену; - компьютеров, не являющихся частью домена. |
См. также:
Следующая таблица предоставляет дополнительные ресурсы для оценки AD CS.
Примечание
Чтобы добавить комментарии к этим материалам или задать вопросы по ним, используйте наши рекомендации по обратной связи.