( 接上篇)委派注册代理功能允许准确地定义一个注册代理能够做什么不能够做什么它允许你为某人委派一个临时的智能卡注册象组建一个接待员万一某个用户将他/她的智能卡丢在家中 接下来增加的特性是被称为网络设备注册服务或SCEP被集成到本地安装中这是一个简单的特性它允许用户通过正常的Windows安装为它们的凭据注册 易管理性是一个重要的功能它被大大地提高了例如性能计数器已经被添加到证书服务中允许PKI管理员更容易地监控整个组织的CA的性能 证书服务易管理性演示 Windows Reliability 和Performance Monitor是一个MMC它提供了分析系统性能的工具该工具提供了监视和记录Windows Server 许多方面的性能的一个方法 缺省的监视器显示了当前的处理器使用在我们的演示中不需要它要增加一个性能监视器我们点击工具栏中的Add Counter按钮可用的计数器列表将显示操作系统中所有可用的计数器今天我们要关注的是关于证书服务的 通过展开CA您将看到可用选项的一个列表这些选项将让我们更好地理解那些配置选项是最好的对于一个特定的环境我们将添加请求处理时间作为我们的CA计数器如图所示 我们能够监视我们的OCSP配置我们将监视请求处理时间为该服务如图所示 现在选中的计数器被再一次显示在Details 栏中对于象这样小的数据集的计数器离线作为报告来查看将更好如图所示对大量的数据来说将结果变成图形将是最好的 因为我们将只监视一个请求这是不够的报告显示了CA的请求处理时间的合计对于OCSP 服务器来说也一样 我们将创建另外一张新证书然后监视我们的结果该证书将是已经被创建的证书的重复 在Reliability 和Performance Monitor中现在CA 请求处理时间计数器将有一个值如图所示 Windows Server 中的委派注册功能允许比以前更精确地配置委派选项委派注册代理允许限制注册代理证书模板和用户以前的系统允许PKI注册代理代表森林中的任何人注册任何类型的证书 我们将关注委派注册代理的可用特性在它的配置中当我们启用限制我们将看到警告确认这个功能只在Windows Server 服务器上生效如图所示 注册代理部分允许限制某个域中某个指定的注册代理这些能够被增加或删除从Enrollment Agents 栏中当您限制注册代理一个警告消息出现它提示委派注册代理上的限制只能够在Windows Server 和后续版本中的CA上强制生效在设计委派注册代理之前确认您的注册代理策略是适用您的PKI环境 证书模板部分允许限制CA中不同的注册模板权限部分限制指定用户的权限在注册的时候 |