證書頒發機構(CA:Certification Authority)_AD CS 的CA種類(Active Directory Certificate Service)
證書頒發機構(CA:Certification Authority)
CA信任-兩種類不同用途的證書
1.用於建立信任關係的證書
2.用於建立通訊過程中資料加密、簽名,確保資料安全的證書
使用者或網站之間使用到的公鑰與私鑰是如何生成的?
a.在申請證書時,需要輸入姓名、地址、email等資訊,這些資料會發送到
一個稱作CSP的程序(Cryptographic Service Provider)。
CSP是微軟公司的使用者在windows平台上提供第三方加密模組的介面標準。
此程序已經被安裝在申請者的電腦內。
b.CSP會自動建立一對密鑰(一公一私)。CSP會將私鑰儲存到申請者的電腦
註冊表中,然後將證書申請資料與公鑰一併發送給CA,CA檢查這些資料無誤後,
會利用CA自己的私鑰將鑰發放的證書進行簽名,然後發放此證書。
申請者收到證書後,將證書安裝到其電腦內。
c.證書內包含了證書頒發的對象、證書有效期、頒發此憑證的CA與CA的數位簽名。
以及申請者的相關資訊(姓名、地址、email)和公鑰資訊。
AD CS 的CA種類(Active Directory Certificate Service)
1.企業根CA(Enterprise Root CA)
1-1.需要AD環境,可安裝到Domain控制器或是Domain成員伺服器上
1-2.頒發證書的對象僅限Domain用戶
1-3.主要工作應該是用來頒發證書給從屬CA,發放證書的具體工作交給從屬CA來負責。
2.企業從屬CA(Enterprise Subordinate CA)
2-1.也需要AD環境
2-2.適合用來證書的具體管理與發放工作
2-3.從屬CA必須向其Parent CA取得證書後,才能正常運作。
2-4.從屬CA也可頒發證書給下一層的從屬CA
3.獨立根CA(Standalone Root CA)
3-1.類似企業根CA,差別在於不需要AD環境
3-2.扮演獨立根CA角色的電腦可以是獨立的伺服器、成員伺服器或Domain控制器
3-3.無論是否為Domain用戶皆可向獨立根CA申請證書。
4.獨立從屬CA(Standalone Subordinate CA)
4-1.類似企業從屬CA,差別在於不需要AD環境
4-2.扮演獨立從屬CA角色的電腦可以是獨立的伺服器、成員伺服器或Domain控制器
4-3.無論是否為Domain用戶皆可向獨立從屬CA申請證書。
Ref:
https://www.sysadmins.lv/blog-en/certificate-chaining-engine-how-this-works.aspx
https://www.vkernel.ro/blog/install-certification-authority-in-windows-server-2008-r2
Windows AD 與 Certificate Service 安裝筆記
https://blog.darkthread.net/blog/setup-ad-n-ca/
留言
張貼留言