CS角色:
1,CA
这个组件将证书颁发给用户,计算机,服务,它还可以用来管理证书的有效性.多个CA能够通过链接构成一个分层的PKI结构
2,CA Web注册
这个组件为用户,计算机,设备颂发和续签证书 ,设备可以是未加域的,也可以是没有直接连接到内部网络的,或者非Windows操作系统的.
3,在线应答器(OCSP)
可以使用这个组件来配置和管理OCSP校验和吊销检查,在线应答器将特定证书的吊销状态请求进行解码,然后评传这些证书的状态,并将请求的证书证书的状态信息签名后返回给请求方,在线应答器可以Windows2012的任何版本中使用,使用在线应答器时,证书 的吊销数据可以从一台CA服务器上获取,CA服务器的系统可以是Windows2003,Windows2008,甚至可以是一个非微软的CA服务器.
4,网络设备注册服务(NDES Network Device Enrollment Service),通过这个组件,路由器,交换机以及其他的网络设备都可以从AD CS中获取证书,如果操作系统使用的是Windows2008R2,那么这个角色只能在企业版和数据中心版上使用,但是Windows2012的所有版本都可以使用这个角色.
5,证书注册Web服务(CES Certificate Enrollment Web Service)
这个组件作为Windwos 7和Windows 8客户端与CA服务器之间的一个代理,它最初出现在Windows 2008R2版本中,要使用此功能AD林的功能级别必须是Windows 2008R2以上,它能够让用户通过浏览器连接到CA执行以下操作:
A,申请,续签,安装颂发的证书
B,获取CRL
C,下载根证书
D,通过internet注册证书,或跨林注册证书.
6,证书注册Web服务(CEP Certificate Enrollment Policy Web Service)
这个组件也是从Windows2008的时候出现的,允许用户获得证书注册生命力的信息.它和CES结合在一起使非域或未连接到域 的客户端计算机进行基于生命力的证书注册.
TPM:
Windows2012支持生成受信任平台模块(TPM Trusted Platform Module) 此功能使用基于TPM的秘钥存储提供器来保护秘钥.使用基于TPM秘钥存储提供器的好处是真正实现秘钥的不可导出性,所有的秘钥都是由TPM机制支持,所有的秘钥都是由TPM机制支持,这样能够有效的阻止那些多次使用错误PIN码访问的用户.如果想更进一步加强安全性,可以对所有发给Windows2012 AD CS的证书请求强制加密.
智慧卡
智慧卡能够提供比密码更强的安全性.因为未授权的用户很难获得和保持对访问,此外想要访问被智慧卡保护的系统,要求用户拥有一个有效的卡并知道访问卡所需的PIN码.智慧卡默认只会有一个副本存在,所以在同一时间只能有一个用户能够使用登录凭证,因此如果用户的卡被盗了还是遗失了,他很快就会知道卡究竟是被盗了还是遗失了.
虚拟智慧卡
Windows2012中,虚拟智慧卡利用的是计算机主板上的TPM芯片的功能,这个芯片在近两年生产的主板中都已经集成了,所以它不需要你专门花钱去买智慧卡和读卡器,但是它与传统的智慧卡不同的是,传统智慧卡的用户必须物理的战胜智慧卡,而虚拟智慧卡是由主板上的TPM芯片来充当智慧卡的角色, 同样达到双重因素验证的效果,它与物理智慧卡结合PIN码的效果是类似的.启用了虚拟智慧卡的用户,必须有一台计算机,并且要知道虚拟智慧卡的PIN码.
理解虚拟智慧卡如何保护私钥是很重要的,传统的智慧卡拥有自己的存储和加密机制来保护私钥,而虚拟智慧卡中,它不是使用独立的物理内存来保护私钥,而是TPM的加密功能,TPM会将保存在智慧卡中的所有第三信息进行加密,然后以它的加密格式将信息保存在硬盘上,虽然私钥是以TPM的加密格式保存在硬盘上的,但是所有的加密操作都是在一个安全独立的TPM环境中发生的.不会未经过加密就离开这个环境的,万一计算机的硬盘被人破解了,是不可访问的,因为是TPM对保护和加密.
什么是Cross-Certification (交叉验证)层次?
根据这个名称我们可以猜想到,Cross-Certification 层次应该是在CA层次中的某台根CA将一个Cross-Certification 提交给另一个CA层次中的根CA,另一个层次中的根CA将收到 的证书安装,经过这个步骤后,信任关系会从安装了证书的层级向下传递到所有的从属CA.
Cross-Certification的优势:
A,在企业之间以及PKI产品之间提供了交互操作功能.
B,将完全不同的PKI关联起来.
C,为外部的CA层次构建完全的信任.
企业通常部署Cross-Certification 在PKI层次上建立一个相互信任,以及部署某些依赖与PKI的应用程序,比如在企业之间建立SSL会话,或者用于交换数字签名文档的时候.