Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Active Directory Certificate Services (AD CS) är en Windows Server-roll för att utfärda och hantera PKI-certifikat (Public Key Infrastructure) som används i protokoll för säker kommunikation och autentisering.
Utfärda och hantera certifikat
Digitala certifikat kan användas för att kryptera och digitalt signera elektroniska dokument och meddelanden samt för autentisering av dator-, användar- eller enhetskonton i ett nätverk. Till exempel tillhandahåller digitala certifikat:
- Konfidentialitet via kryptering.
- Integritet via digitala signaturer.
- Autentisering genom att associera certifikatnycklar med dator-, användar- eller enhetskonton i ett datornätverk.
Viktiga funktioner
AD CS innehåller följande viktiga funktioner:
Certifikatutfärdare: Rotcertifikatutfärdare och underordnade certifikatutfärdare används för att utfärda certifikat till användare, datorer och tjänster och för att hantera certifikatets giltighet.
Webbregistrering: Med webbregistrering kan användare ansluta till en certifikatutfärdare med en webbläsare för att begära certifikat och hämta listor över återkallade certifikat (CRL).
Onlinesvarare: Tjänsten Online Responder avkodar begäranden om återkallningsstatus för specifika certifikat, utvärderar statusen för dessa certifikat och skickar tillbaka ett signerat svar som innehåller den begärda certifikatstatusinformationen.
Registreringstjänst för nätverksenheter: Registreringstjänsten för nätverksenheter tillåter routrar och andra nätverksenheter som inte har domänkonton att hämta certifikat.
TPM-nyckelattestering: Låter certifikatutfärdare kontrollera att den privata nyckeln skyddas av en maskinvarubaserad TPM och att TPM är en som certifikatutfärdare litar på. TPM-nyckelattestering förhindrar att certifikatet exporteras till en obehörig enhet och kan binda användaridentiteten till enheten.
Webbtjänst för politik för certifikatregistrering: Webbtjänsten för politik för certifikatregistrering gör det möjligt för användare och datorer att hämta principinformation om certifikatregistrering.
Webbtjänst för certifikatregistrering: Med webbtjänsten för certifikatregistrering kan användare och datorer utföra certifikatregistrering via en webbtjänst. Tillsammans med webbtjänsten för certifikatregistreringsprincip möjliggör detta principbaserad certifikatregistrering när klientdatorn inte är medlem i en domän eller när en domänmedlem inte är ansluten till domänen.
Benefits
Du kan använda AD CS för att förbättra säkerheten genom att binda identiteten för en person, dator eller tjänst till en motsvarande privat nyckel. AD CS är ett kostnadseffektivt, effektivt och säkert sätt att hantera distribution och användning av certifikat. Förutom bindning av identiteter och privata nycklar innehåller AD CS även funktioner som gör att du kan hantera certifikatregistrering och återkallande.
Befintlig slutpunktsidentitetsinformation i Active Directory används för att registrera certifikat, vilket gör att information automatiskt kan infogas i certifikat. Active Directory-grupprinciper kan också användas för att ange vilka användare och datorer som tillåts vilka typer av certifikat. Grupprincipkonfiguration möjliggör rollbaserad eller attributbaserad åtkomstkontroll.
Program som stöds av AD CS inkluderar S/MIME (Secure/Multipurpose Internet Mail Extensions), säkra trådlösa nätverk, virtuellt privat nätverk (VPN), Internet Protocol Security (IPsec), Encrypting File System (EFS), smartkortsloggning, Secure Socket Layer/Transport Layer Security (SSL/TLS) och digitala signaturer.