深入理解Active Directory证书服务的实施与管理
1. 测试OR配置与证书撤销
测试在线响应器(OR)配置的一种方法是颁发并撤销一些证书。在认证机构(CA)控制台中撤销证书的步骤如下:
1. 点击“已颁发的证书”。
2. 右键单击要撤销的证书。
3. 指向“所有任务”,然后点击“撤销证书”。
之后,打开Web浏览器,访问http://412Server2.412Dom1.local/CertEnroll/412Dom1-412SERVER2-CA.crl,下载该CRL文件并打开,“撤销列表”选项卡会列出已撤销证书的序列号和撤销日期。
2. PKI的维护与管理
在依赖公钥基础设施(PKI)的网络中,CA服务器、已颁发的证书和相关私钥是关键组件,必须对其进行维护和保护,以防止灾难发生。同时,需要为负责且可信的用户分配关键的CA管理角色,以执行维护PKI环境的众多任务。
从Windows Server 2003开始,引入了基于角色的CA管理,它限制了域管理员账户可执行的PKI任务。默认情况下,管理员可以在CA服务器上执行所有任务,但分配角色后,管理员只能执行与其分配角色相关的任务。管理CA及其组件需要填充四个关键角色:
| 角色 | 职责 | 分配方式 |
| ---- | ---- | ---- |
| CA管理员 | 配置和维护CA服务器,可分配所有其他CA角色并续订CA证书 | 在CA服务器属性对话框的“安全”选项卡中,为选定用户授予“管理CA”权限 |
| 证书管理器 | 批准证书注册和撤销请求 | 在CA服务器属性对话框的“安全
)
