För att etablera en infrastruktur för publika nycklar och erbjuda ditt företags kryptografi med publika nycklar, digitala certifikat och digitala signaturer krävs en ADCS-serverroll. AD CS tillhandahåller anpassningsbara tjänster för att utfärda och hantera digitala certifikat i programvarusäkerhetssystem som använder publika nyckeltekniker.
De digitala certifikat som AD CS tillhandahåller kan användas för att kryptera och digitalt signera elektroniska dokument och meddelanden. Dessa digitala certifikat kan autentisera nätverksdatorer, användare eller enhetskonton. Digitala certifikat används för att tillhandahålla följande:
- Sekretess genom kryptering
- Integritet genom digitala signaturer
- Autentisering genom att associera certifikatnycklar med ett dator-, användar- eller enhetskonto i ett datornätverk
Behållaren för offentliga nyckeltjänster kan inte begränsas till någon specifik domän eller domäner. Den är tillgänglig för alla klienter i skogen. Eftersom behållaren för offentliga nyckeltjänster lagras i en konfigurationsnamngivningskontext simuleras innehållet mellan alla domänkontrollanter i den aktuella skogen.
CN=Public Key Services, CN=Tjänster, CN=Konfiguration, DC= {skogens rotdomän}
Följande är underbehållare under behållare för offentliga nyckeltjänster:
- AIA
- CDP
- Certifikatmallar
- Certifieringsmyndigheter
- Inskrivningstjänster
- KRA
- OID
Nedan följer beskrivningar av varje behållare:
AIA
För att skapa en betrodd certifikatkedja och hämta eventuella korscertifikat som utfärdats av CA:n kan klienter hämta CA-certifikat från AIA-behållaren genom att använda certifikattillägget Authority Information Access (AIA). Ett annat namn för AIA är Authority Information Access (AIA). AIA-behållaren installerar automatiskt den nya företags-CA:ns certifikat under installationen. För att installera CA-certifikatet programmatiskt till den här behållaren, kör följande kommando:
Certutil -dspublish -f SubCA
– detta är den faktiska sökvägen och certifikatnamnsfilen.
CDP
CDP lagrar listor över återkallade certifikat. Den innehåller alla grundläggande CRL:er och Delta-CRL:er som publicerats i skogen.
Du kan installera listan över återkallade certifikat i CDP-behållaren genom att köra certutil kommando.
Certutil -dspublish -f
Hur man lägger till en CDP
Kommandot nedan är att lägga till CDP
Lägg till CRLDistributionPoint [-InputObject] [-URI] [ ]
Driftparametrar
-InputObject -> Anger CRLDistributionPoint-objektet till vilket nya CRL-distributionspunkter läggs till
[-URI] -> Detta anger nya distributionspunkter för publicering av CRL-filer för en viss certifikatutfärdare.
Cmdlet:n stöder vanliga parametrar som: Debug (db), ErrorAction (ea), ErrorVariable (ev), InformationAction (infa), InformationVariable (iv), OutVariable (ov), OutBuffer (ob), PipelineVariable (pv), Verbose (vb), WarningAction (wa), WarningVariable (wv)
CRL-publikationsalternativ
| Variabel | Namn | BESKRIVNING |
|---|---|---|
| %1 | Server-DNS-namn | CA-datorns DNS-namn (Domain Name System) |
| %2 | ServerShortName | CA-datorns NetBIOS-namn |
| %3 | CA-namn | CA:s logiska namn |
| %6 | Konfigurations-DN | LDAP-sökvägen (Lightweight Directory Access Protocol) för skogens konfigurationsnamngivningskontext för skogen |
| %8 | CRL-namnsuffix | CRL:s förlängning av förnyelse |
| %9 | DeltaCRL Tillåten | Anger om CA stöder delta-CRL:er |
| % 10 | CDPObject-klass | Indikerar att ett objekt är ett CDP-objekt i AD DS |
Certifikatmallar
Genom att definiera de gemensamma funktioner som delas av alla certifikat som utfärdas med den mallen och bestämma de behörigheter för vilka användare eller datorer kan registrera sig för eller automatiskt registrera sig för certifikatet, används certifikatmallar för att automatisera certifikatdistributionen. En certifikatmall som automatiskt registrerar alla domänanvändare med giltiga e-postadresser för ett säkert e-postcertifikat (S/MIME) skulle fungera som en illustration.
Alla certifikatmallar som är tillgängliga i AD, oavsett om de är publicerade på en företags-CA eller inte, lagras i behållaren Certifikatmallar. Om en företags-CA publicerar en certifikatmall skrivs värdet som ett attribut på CA-objektet i behållaren Registreringstjänster. Som standard installeras över 30 fördefinierade Microsoft-certifikatmallar när en företags-CA bygger.
Certifieringsmyndigheter
Certifikatutfärdarbehållaren är för betrodd(a) rot-CA(er). Under skapandet av företagets rot-CA distribueras certifikatet automatiskt i behållaren. Om det gäller en fristående offline-CA måste PKI-administratören manuellt publicera offline-rot-CA-certifikatet med hjälp av certutil kommando.
Exempel: certutil -dspublish -f Rot-CA
Behållare för registreringstjänster
Den innehåller certifikaten för de företagscertifikatutfärdare som kan bevilja certifikat till individer, maskiner eller tjänster som finns i skogen. Endast en medlem i företagsadministratörsgruppen som installerar en företagscertifikatutfärdare kan lägga till företagscertifikatutfärdare i den här behållaren. Dialogrutan Hantera AD-behållare kan inte användas för att lägga till certifikaten manuellt.
KRA
Innehåller certifikaten för nyckelåterställningsagenter för skogen. Nyckelåterställningsagenter måste konfigureras för att stödja nyckelarkivering och återställning. Certifikat för nyckelåterställningsagenter kan läggas till i den här behållaren automatiskt genom att registreras hos en företagscertifikatutfärdare. Certifikaten för nyckelåterställningsagenter kan inte läggas till manuellt med hjälp av dialogrutan Hantera AD-behållare.
OID
Denna container lagrar objektidentifierare (OID) registrerad i företaget. OID-behållaren kan innehålla objektidentifierardefinitioner för anpassade programpolicyer, utfärdandepolicyer (certifikatpolicyer) och certifikatmallar. När klienten är medlem i Active Directory-skogen använder den en OID-behållare för att matcha objektidentifierare och den lokala OID-databasen.
Nya OID:er bör registreras via Certifikatmallar (certtmpl.msc) MMC-snapin genom att lägga till en ny program- eller utfärdandepolicy (certifikat) på fliken Tillägg i certifikatmallen.
Slutsats
Att förstå varje container för Active Directory-certifikattjänster är avgörande för en PKI-administratör för företaget. En administratör måste känna till aktiviteterna och behovet av varje container när han eller hon hanterar företaget. PKI infrastruktur.
