Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługi certyfikatów Active Directory (AD CS) to rola systemu Windows Server do wystawiania certyfikatów infrastruktury kluczy publicznych (PKI) używanych w protokołach bezpiecznej komunikacji i uwierzytelniania oraz zarządzania nimi.
Wystawianie certyfikatów i zarządzanie nimi
Certyfikaty cyfrowe mogą służyć do szyfrowania i cyfrowego podpisywania elektronicznych dokumentów i wiadomości, a także uwierzytelniania kont komputerów, użytkowników lub urządzeń w sieci. Na przykład certyfikaty cyfrowe zapewniają:
- Poufność za pośrednictwem szyfrowania.
- Integralność za pomocą podpisów cyfrowych.
- Uwierzytelnianie przez skojarzenie kluczy certyfikatów z kontami komputera, użytkownika lub urządzenia w sieci komputerowej.
Kluczowe funkcje
Usługi AD CS udostępniają następujące ważne funkcje:
Urzędy certyfikacji: Główne i podrzędne urzędy certyfikacji służą do wystawiania certyfikatów użytkownikom, komputerom i usługom oraz do zarządzania ważnością certyfikatów.
Rejestracja internetowa: Rejestracja internetowa umożliwia użytkownikom łączenie się z urzędem certyfikacji za pomocą przeglądarki sieci Web w celu żądania certyfikatów i pobierania list odwołania certyfikatów (CRL).
Osoba odpowiadająca w trybie online: Usługa osoba odpowiadająca w trybie online dekoduje żądania stanu odwołania dla określonych certyfikatów, ocenia stan tych certyfikatów i wysyła z powrotem podpisaną odpowiedź zawierającą żądane informacje o stanie certyfikatu.
Usługa rejestracji urządzeń sieciowych: Usługa rejestracji urządzeń sieciowych umożliwia routerom i innym urządzeniom sieciowym, które nie mają kont domeny do uzyskiwania certyfikatów.
Zaświadczanie klucza modułu TPM: Umożliwia urzędowi certyfikacji sprawdzenie, czy klucz prywatny jest chroniony przez sprzętowy moduł TPM i czy moduł TPM jest zaufany przez urząd certyfikacji. Zaświadczanie klucza modułu TPM uniemożliwia eksportowanie certyfikatu do nieautoryzowanego urządzenia i może powiązać tożsamość użytkownika z urządzeniem.
Usługa sieci Web zasad rejestracji certyfikatów: Usługa sieci Web zasad rejestracji certyfikatów umożliwia użytkownikom i komputerom uzyskiwanie informacji o zasadach rejestracji certyfikatów.
Usługa sieci Web rejestracji certyfikatów: Usługa sieci Web rejestracji certyfikatów umożliwia użytkownikom i komputerom przeprowadzanie rejestracji certyfikatów za pośrednictwem usługi internetowej. Wraz z usługą sieci Web dla zasad rejestracji certyfikatów, pozwala to na rejestrację certyfikatów opartą na zasadach, gdy komputer kliencki nie jest członkiem domeny lub gdy komputer będący członkiem domeny nie jest połączony z domeną.
Benefits
Za pomocą usług AD CS można zwiększyć bezpieczeństwo, wiążąc tożsamość osoby, komputera lub usługi z odpowiednim kluczem prywatnym. Usługi AD CS zapewniają ekonomiczny, wydajny i bezpieczny sposób zarządzania dystrybucją i używaniem certyfikatów. Oprócz powiązania tożsamości i kluczy prywatnych usługi AD CS zawiera również funkcje, które umożliwiają zarządzanie rejestracją i odwoływaniem certyfikatów.
Istniejące informacje o tożsamości punktu końcowego w usłudze Active Directory służą do rejestrowania certyfikatów, co umożliwia automatyczne wstawianie informacji do certyfikatów. Zasad grupy usługi Active Directory można również użyć do wyznaczenia użytkowników i maszyn dozwolonych typów certyfikatów. Konfiguracja zasad grupy umożliwia kontrolę dostępu opartą na rolach lub atrybutach.
Aplikacje obsługiwane przez usługi AD CS obejmują secure/multipurpose Internet Mail Extensions (S/MIME), bezpieczne sieci bezprzewodowe, wirtualną sieć prywatną (VPN), zabezpieczenia protokołu internetowego (IPsec), szyfrowanie systemu plików (EFS), logowanie kart inteligentnych, protokół Secure Socket Layer/Transport Layer Security (SSL/TLS) i podpisy cyfrowe.