(接上篇)在以前自動注冊是Windows中WINLOGON過程中的一部分將它暴露給更多的攻擊實際上所有的Windows NT 服務已經被重新設計架構用作一個WMI 任務這意味著Windows Vista 和 Windows Server 組件不會有象Windows Server 和Windows XP那麼多的攻擊面
證書到期前提前通知特性也被添加進來換句話說它就是當一個證書快要終止或已經終止的時候通知用戶相關的場景是當自動注冊沒有啟用計算機不能自動更新或代表用戶注冊一張證書
憑據漫游
象前面提到的憑據漫游在Windows Server SP中已經被引入現在是Windows Server 的一個組成部分
憑據漫游的目的是減少不同計算機的憑據復制它通過活動目錄將加密密鑰復制到用戶的計算機
當用戶登錄計算機的時候認證信息發送到服務器在服務器上公鑰和私鑰被交換通常用戶的憑據將在工作站之間傳送通過使用漫游配置文件這會引起負載增加
通過憑據漫游用戶的公鑰和私鑰將跟著用戶活動目錄對象不管他們使用哪台計算機對於活動或漫游用戶這提高了郵件保護用戶認證和部署智能卡的能力
注冊和憑據漫游的演示
在Windows Server 中注冊用戶接口被提高了很多同時對於可用性靈活性和支持性都得到增強為了簡單起見我們將從同一台計算機即我們的CA服務器注冊一張新證書通常情況下我們能夠從域內任何一台計算機或服務器上注冊我們打開證書MMC位於我們當前證書用戶樹下的個人文件夾將顯示該用戶的當前所有證書如圖所示
在該演示中我們將請求一張新用戶證書我們能夠通過Action菜單來完成它注冊用戶接口給我們提供了很多新選項與以前的版本相比我們將只配置該服務器接受一些不同類型的認證但是我們能夠看到這些可用選項即使它們沒有被使用如圖所示
我們能夠直接指派證書到一台計算機因為憑據漫游這不在是一個缺省選項如圖所示
User Option Details 能夠被展開和查看在該證書被創建之前Certificate Properties窗口將給我們進一步個性化該證書在它被提交之前
我們能夠為該證書指定一個測試名稱如果以後我們需要識別它如圖所示Subject 欄給我們指派特定屬性給用戶證書的機會與證書關聯的私鑰的持有者被稱為主題它可以是一個用戶一個程序或虛擬的任何對象或服務因為根據哪個人或它是什麼主題會不同當提供主題名稱在證書請求的時候需要一些靈活性Windows 要麼自動生成主題名稱要麼手動從主題中請求如果它自動提供主題名稱Windows 從活動目錄中獲取這些信息名稱可能是從電子郵件名稱到指定的組織單元的任何對象如圖所示
Extensions欄有證書使用類型的特殊擴展這些選項中的每個都能夠編輯Key Usage 允許我們對該配置做一些小的修改如圖所示
Basic Constraints細節也能夠被修改如圖所示
Private Key 欄顯示了我們配置證書授權機構的選項這些條目中的選項也能夠被自定義基於您想要的功能如圖所示
證書授權機構欄簡單地確認先從哪個CA查找它要求的密鑰如圖所示
最後我們能夠注冊證書如圖所示它將被保存在本地計算機上這些證書能夠通過證書MMC來查看
對於部署PKI基礎結構來說證書服務在管理性和易用性方面都得到了增強
From:http://tw.wingwit.com/Article/os/xtgl/201311/8601.html
