熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

Windows2008之PKI實戰3:證書服務

2013-11-11 21:44:51  來源: Windows系統管理 

  ( 接上篇)委派注冊代理功能允許准確地定義一個注冊代理能夠做什麼不能夠做什麼它允許你為某人委派一個臨時的智能卡注冊象組建一個接待員萬一某個用戶將他/她的智能卡丟在家中

  接下來增加的特性是被稱為網絡設備注冊服務或SCEP被集成到本地安裝中這是一個簡單的特性它允許用戶通過正常的Windows安裝為它們的憑據注冊

  易管理性是一個重要的功能它被大大地提高了例如性能計數器已經被添加到證書服務中允許PKI管理員更容易地監控整個組織的CA的性能

  證書服務易管理性演示

  Windows Reliability 和Performance Monitor是一個MMC它提供了分析系統性能的工具該工具提供了監視和記錄Windows Server 許多方面的性能的一個方法

  缺省的監視器顯示了當前的處理器使用在我們的演示中不需要它要增加一個性能監視器我們點擊工具欄中的Add Counter按鈕可用的計數器列表將顯示操作系統中所有可用的計數器今天我們要關注的是關於證書服務的

  通過展開CA您將看到可用選項的一個列表這些選項將讓我們更好地理解那些配置選項是最好的對於一個特定的環境我們將添加請求處理時間作為我們的CA計數器如圖所示

      
    我們能夠監視我們的OCSP配置我們將監視請求處理時間為該服務如圖所示
    
   
    
    現在選中的計數器被再一次顯示在Details 欄中對於象這樣小的數據集的計數器離線作為報告來查看將更好如圖所示對大量的數據來說將結果變成圖形將是最好的

  
    
    因為我們將只監視一個請求這是不夠的報告顯示了CA的請求處理時間的合計對於OCSP 服務器來說也一樣

  我們將創建另外一張新證書然後監視我們的結果該證書將是已經被創建的證書的重復

  在Reliability 和Performance Monitor中現在CA 請求處理時間計數器將有一個值如圖所示

  

  Windows Server 中的委派注冊功能允許比以前更精確地配置委派選項委派注冊代理允許限制注冊代理證書模板和用戶以前的系統允許PKI注冊代理代表森林中的任何人注冊任何類型的證書

  我們將關注委派注冊代理的可用特性在它的配置中當我們啟用限制我們將看到警告確認這個功能只在Windows Server 服務器上生效如圖所示

  

  注冊代理部分允許限制某個域中某個指定的注冊代理這些能夠被增加或刪除從Enrollment Agents 欄中當您限制注冊代理一個警告消息出現它提示委派注冊代理上的限制只能夠在Windows Server 和後續版本中的CA上強制生效在設計委派注冊代理之前確認您的注冊代理策略是適用您的PKI環境

  證書模板部分允許限制CA中不同的注冊模板權限部分限制指定用戶的權限在注冊的時候


From:http://tw.wingwit.com/Article/os/xtgl/201311/9129.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.