|
(接上篇)在以前自动注册是Windows中WINLOGON过程中的一部分将它暴露给更多的攻击实际上所有的Windows NT 服务已经被重新设计架构用作一个WMI 任务这意味着Windows Vista 和 Windows Server 组件不会有象Windows Server 和Windows XP那么多的攻击面 证书到期前提前通知特性也被添加进来换句话说它就是当一个证书快要终止或已经终止的时候通知用户相关的场景是当自动注册没有启用计算机不能自动更新或代表用户注册一张证书 凭据漫游 象前面提到的凭据漫游在Windows Server SP中已经被引入现在是Windows Server 的一个组成部分 凭据漫游的目的是减少不同计算机的凭据复制它通过活动目录将加密密钥复制到用户的计算机 当用户登录计算机的时候认证信息发送到服务器在服务器上公钥和私钥被交换通常用户的凭据将在工作站之间传送通过使用漫游配置文件这会引起负载增加 通过凭据漫游用户的公钥和私钥将跟着用户活动目录对象不管他们使用哪台计算机对于活动或漫游用户这提高了邮件保护用户认证和部署智能卡的能力 注册和凭据漫游的演示 在Windows Server 中注册用户接口被提高了很多同时对于可用性灵活性和支持性都得到增强为了简单起见我们将从同一台计算机即我们的CA服务器注册一张新证书通常情况下我们能够从域内任何一台计算机或服务器上注册我们打开证书MMC位于我们当前证书用户树下的个人文件夹将显示该用户的当前所有证书如图所示 在该演示中我们将请求一张新用户证书我们能够通过Action菜单来完成它注册用户接口给我们提供了很多新选项与以前的版本相比我们将只配置该服务器接受一些不同类型的认证但是我们能够看到这些可用选项即使它们没有被使用如图所示 我们能够直接指派证书到一台计算机因为凭据漫游这不在是一个缺省选项如图所示 User Option Details 能够被展开和查看在该证书被创建之前Certificate Properties窗口将给我们进一步个性化该证书在它被提交之前 我们能够为该证书指定一个测试名称如果以后我们需要识别它如图所示Subject 栏给我们指派特定属性给用户证书的机会与证书关联的私钥的持有者被称为主题它可以是一个用户一个程序或虚拟的任何对象或服务因为根据哪个人或它是什么主题会不同当提供主题名称在证书请求的时候需要一些灵活性Windows 要么自动生成主题名称要么手动从主题中请求如果它自动提供主题名称Windows 从活动目录中获取这些信息名称可能是从电子邮件名称到指定的组织单元的任何对象如图所示 Extensions栏有证书使用类型的特殊扩展这些选项中的每个都能够编辑Key Usage 允许我们对该配置做一些小的修改如图所示 Basic Constraints细节也能够被修改如图所示 Private Key 栏显示了我们配置证书授权机构的选项这些条目中的选项也能够被自定义基于您想要的功能如图所示 证书授权机构栏简单地确认先从哪个CA查找它要求的密钥如图所示 最后我们能够注册证书如图所示它将被保存在本地计算机上这些证书能够通过证书MMC来查看 对于部署PKI基础结构来说证书服务在管理性和易用性方面都得到了增强 |
