Utforska grunderna i PKI och AD CS

  • 5 minuter

Om du vill hämta certifikat för din AD DS-infrastruktur kan du begära dem från en offentlig certifikatutfärdare eller utfärda dem med hjälp av din egen infrastruktur. Om du vill implementera en egen certifikatfärdare kan du använda AD CS, vilket är den sökväg som Contoso valde att ta. AD CS är en identitetsteknik i Windows Server som gör att du kan implementera PKI för din organisation.

Vad är PKI?

PKI är en kombination av programvara, krypteringstekniker, processer och tjänster som gör det möjligt för en organisation att skydda sina data, kommunikationer och affärstransaktioner. PKI förlitar sig på utbyte av digitala certifikat mellan autentiserade användare och betrodda resurser. Du använder certifikat för att skydda data och för att hantera autentiseringsuppgifter för identifiering från användare och datorer både inom och utanför organisationen.

Vad är AD CS?

Du kan implementera en PKI-lösning med hjälp av AD CS Windows Server-rollen. AD CS tillhandahåller alla PKI-relaterade komponenter som rolltjänster. Varje rolltjänst ansvarar för en viss del av certifikatinfrastrukturen när de arbetar tillsammans för att skapa en komplett lösning.

AD CS-rollen innehåller följande rolltjänster:

  • Certifikatutfärdare. Huvudsyftet med certifikatutfärdare är att utfärda certifikat, återkalla certifikat och publicera åtkomst till utfärdarinformation (AIA) och återkallningsinformation. Den första certifikatutfärdarcertifikatutfärdarna som du distribuerar blir roten till din interna PKI. Därefter kan du distribuera underordnade certifikatutfärdare, placerade i PKI-hierarkin, med rotcertifikatutfärdare högst upp. Underordnade certifikatutfärdare litar implicit på rotcertifikatutfärdare och, underförstått, certifikat som den utfärdar.

    Kommentar

    Du kan distribuera flera interna CA-hierarkier, var och en med sin egen rot.

  • Webbregistrering för certifikatutfärdare. Den här komponenten tillhandahåller en metod för att utfärda och förnya certifikat i scenarier där användare använder enheter som inte är anslutna till domänen eller kör andra operativsystem än Windows.

  • Onlinesvarare. Du kan använda den här komponenten för att konfigurera och hantera ocsp-validering och återkallningskontroll (Online Certificate Status Protocol). En onlinesvarare avkodar begäranden om återkallningsstatus för specifika certifikat, utvärderar statusen för dessa certifikat och returnerar ett signerat svar som har den begärda certifikatstatusinformationen.

  • Registreringstjänst för nätverksenheter (NDES). Med den här komponenten kan routrar, växlar och andra nätverksenheter hämta certifikat från AD CS.

  • Webbtjänst för certifikatregistrering (CES). Den här komponenten fungerar som en proxyklient mellan en dator som kör Windows och CA:n. CES gör det möjligt för användare, datorer eller program att ansluta till en ca med hjälp av webbtjänster för att:

    • Begära, förnya och installera utfärdade certifikat.
    • Hämta listor över återkallade certifikat (CRL:er).
    • Ladda ned ett rotcertifikat.
    • Registrera dig via Internet eller mellan skogar.
    • Förnya certifikat automatiskt för datorer som ingår i ad DS-domäner som inte är betrodda eller som inte är anslutna till en domän.

  • Webbtjänst för certifikatregistreringsprincip. Den här komponenten gör det möjligt för användare att hämta principinformation om certifikatregistrering. Tillsammans med CES möjliggör det principbaserad certifikatregistrering i scenarier där användarenheter inte är anslutna till domänen eller inte kan ansluta till en domänkontrollant.

Rolltjänsterna för AD CS-rollen i Windows Server 2019, inklusive CA, CA-webbregistrering, onlinesvarare, registreringstjänst för nätverksenheter, CES och webbtjänsten för certifikatregistreringsprincip.