Question

6.1.7.5. ADCS

6.1.7.5.1. 介绍

Active Directory 证书服务 (Active Directory Certificate Services，AD CS) 是微软用于实现 PKI 的服务。

6.1.7.5.2. 证书

ADCS 中的证书是 X.509 格式的数字签名文档，用于加密、签名或身份验证等。

证书常用的属性由下述字段组成

• Subject：主题
• Public Key：公钥
• Extended Key Usages (EKUs)：扩展密钥，描述证书的对象标识符 (Object identifier, OID)
• ...

常用的 EKU OID 包括：

• 代码签名

  • OID 1.3.6.1.5.5.7.3.3
  • 证书用于签署可执行代码

• 加密文件系统

  • OID 1.3.6.1.4.1.311.10.3.4
  • 证书用于加密文件系统

• 安全电子邮件

  • OID 1.3.6.1.5.5.7.3.4
  • 证书用于加密电子邮件

• 客户端身份验证

  • OID 1.3.6.1.5.5.7.3.2

• 智能卡登录

  • OID 1.3.6.1.4.1.311.20.2.2

• 服务器认证

  • OID 1.3.6.1.5.5.7.3.1
  • 证书用于识别服务器 (例如HTTPS 证书)

6.1.7.5.2.1. 证书模板

微软提供了证书模板的功能，方便在域内签发证书。证书模板是注册策略和预定义证书设置的集合，包含证书有效期、用途、申请者等信息。

6.1.7.5.2.2. 证书注册

证书可以通过以下几种方式注册：

• 通过 Windows 客户端证书注册协议 (MS-WCCE)
• 通过 ICertPassage 远程协议 (MS-ICPR)
• 在 ADCS 开启了对应 Web 服务的情况下，使用 Web 服务注册
• 在服务器安装了对应服务时，通过证书注册服务 (CES) 注册
• 在服务器安装了对应服务时，使用网络设备注册服务