添加可信发布域

应用到: Windows Server 2008 R2

默认情况下,Active Directory 权限管理服务 (AD RMS) 群集中的服务器只能根据它或群集中的其他服务器颁发的发布许可证来颁发使用许可证。如果您的内容是使用另一个 AD RMS 根群集发布的,并且该根群集位于您的组织中(例如另一个林中的子组织)或位于另一个独立组织中,那么在配置了可信发布域 (TPD) 的情况下,您的 AD RMS 群集可以向用户授予此内容的使用许可证。通过添加可信发布域,可以通过导入其他群集的服务器许可方证书 (SLC) 在您的 AD RMS 群集与其他根群集之间建立信任关系。可以为 AD RMS 群集配置的 TPD 数没有限制。

如果群集密钥存储在 CSP 中,则必须按照 CSP 制造商文档中的说明,将群集密钥传送到群集中每个可信服务器上的 CSP 密钥容器中。您可能无法将群集密钥从一个硬件安全模块传送到另一个硬件安全模块,具体取决于每个服务器上的 CSP 的类型以及任何硬件安全模块设备的配置。如果将 CSP 与硬件安全模块一起使用,请查看硬件安全模块文档,以确定是否可以传送群集密钥而目标硬件安全模块中不会丢失数据。如果不能成功地传送群集密钥,则不能建立可信发布域。

note注意
如果使用基于硬件的 CSP(也称为硬件安全模块 (HSM))保护 AD RMS 群集密钥,并且要从在内部管理 AD RMS 群集密钥的 AD RMS 安装导入 SLC,则在尝试导入证书之前必须在群集的“安全策略”设置中指定群集密钥密码。

此过程假定您已经导出了另一个 AD RMS 群集的 TPD。有关导出 TPD 的详细信息,请参阅导出受信任的发布域

本地 AD RMS 企业管理员中的成员身份或等效身份是完成此过程所需的最低要求。

添加可信发布域
  1. 打开 Active Directory Rights Management Services 控制台,然后展开 AD RMS 群集。

  2. 在控制台树中,展开“信任策略”,然后单击“受信任的发布域”

  3. “操作”窗格中,单击“导入受信任的发布域”

  4. “可信发布域文件”中,键入可信发布域文件的路径,或单击“浏览”找到该文件。

    该文件包含许可方证书、私钥(如果该密钥存储在软件中)和权限策略模板。该文件是加密的。

  5. “密码”中,键入解密该文件所需的密码。

  6. “显示名称”中,键入标识此可信发布域的名称。

    单击“完成”

note注意
在 Active Directory Rights Management Services 控制台中,通过从“信任策略”节点下的 TPD 证书列表中删除该 TPD 的证书,可以随时删除该 TPD。

其他注意事项

其他参考

社区附加资源

添加
显示: