活动目录证书服务实施全解析
1. 证书详细信息与认证机构配置
证书的详细信息标签包含了多个重要字段,如版本(Version)指定证书所使用的X.509标准版本,这是一个定义公钥基础设施(PKI)多方面内容的国际标准,包括证书格式;签名算法(Signature algorithm)是用于签署证书的哈希算法;颁发者(Issuer)是颁发证书的证书颁发机构(CA),根CA证书通常是自签名的;主题(Subject)是获得证书的设备、计算机、用户或其他实体;公钥(Public key)定义了公钥的算法和位长度;密钥用途(Key usage)指定了证书可用于的目的,如数字签名和证书签名。
在服务器上安装活动目录证书服务(AD CS)后,使用新的CA之前,需要完成以下配置任务:
- 配置证书模板
- 配置注册选项
- 配置在线响应程序
- 创建撤销配置
2. 证书模板配置
如果安装的是企业CA,可以配置一些预定义的证书模板来生成证书。Windows Server 2012/R2支持四种版本的证书模板:
| 模板版本 | 特点 | 支持系统 |
| ---- | ---- | ---- |
| 版本1 | 为向后兼容提供,不能修改或移除,不支持自动注册。可复制转换为版本2或3模板进行修改 | Windows Server 2003标准版和Windows 2000 Server |
| 版本2 | 允许自定义大多数证书设置,支持自动注册 | Windows Server 2003企业版及更高版本 |
| 版本3 | 提供高级加密功能,只能从Windows Server 2008及更高版
