Windows AD证书服务系列---证书发布与吊销(1)

证书注册方式

在Windows2012中，我们可以使用多种方式为用户或计算机注册证书，证书的注册方式与所在的环境有关，例如，我们最希望通过自动注册来批量的将证书部署给大量的用户或计算机，然而在某种情况下，我们又需要通过手动注册将证书部署到专门的安全性主体。

下面描述了这几种方法的不同之处：

1. 自动注册。使用自动注册，管理员需要为证书模板定义权限和配置。这些定义帮助申请者去自动的申请，获取和续签证书，它不需要与终端用户交互。此方法用于AD域的计算机，必须通过组策略来实现自动注册证书。

2. 手动注册。手动注册时设备会生成私钥和一个证书请求，然后证书请求被传递到CA生成一个请求的证书，接着生成的证书会被传回给设备并安装，在申请者不能与CA直接联系或设备不支持自动注册时可以使用这种方法来注册证书。

3. CA Web注册。我们可以启用一个网站CA以便用户能够获得证书，要使用CA Web注册，我们必须在ADCS中安装IIS和Web注册角色。通过web注册申请证书，申请者需要登入到网站，选择合适的证书模板，然后提交申请，如果用户有注册证书的权限，那么证书会自动的被颁发。Web注册一般用在无法使用自动注册颁发证书的时候。

4. 注册代理。要使用这种方式，CA管理员需要为用户建立一个注册代理账号，使用这个账号用户拥有注册代理权限，可以代表其他的用户来注册证书。如果你需要一个管理者去为新员工在智慧卡上预加载登入证书，那么久可以使用这种方法。

自动注册是如何工作的？

在AD域环境中部署证书最常用的方法就是自动注册，它能够自动的去将证书部署到用户和计算机。我们可以在符合特定需求的环境中使用自动注册，例如在AD域中可以通过证书模板和组策略来实现。但是有个很重要的地方需要注意，独立CA是无法使用自动注册的，我们必须有一个与AD集成的企业CA用于自动注册。我们可以使用自动注册去自动的将基于公钥的证书部署给企业中的用户和计算机，证书服务管理员复制证书模板，然后将该模板的注册和自动注册权限开放给需要获取证书的用户和计算机。基于域的组策略能够激活和管理自动注册。

在你重启电脑或登入用户的时候组策略会默认被应用，此外组策略在域成员上默认90分钟刷新一次，我们的这个组策略设置被命名为"证书服务客户端自动注册".

在上次自动注册激活后的每隔8小时会定时触发自动注册任务，证书模板会根据每个请求与指定的用户进行交互，例如有一个请求在用户登入后会弹出一个60s的显示窗口。

很多证书分发时不需要客户端，即便已经知道注册正在发生。大多数颁发给计算和服务的证书类型都包属于这种情况，很多颁发给用户的证书也在其中。

在域环境中为客户端自动注册证书必须满足以下几点：

1. 必须是Domain Admins或Enterprise Admins的成员或相同级别的权限，这是设定自动注册的最基本要求

2. 为证书模板配置自动注册权限

3. 为域配置一个自动注册的策略

证书漫游

证书漫游能够让企业将证书和私钥存储在AD域中，它与应用程序状态或配置信息是分开存储的。无论用户什么时候登录，证书漫游会使用现有的登入和自动注册机制将证书和秘钥下载到本地计算机，如果有需要的话还可以在用户登出时移除证书和秘钥。此外在任何条件下这些证书都能保持自身的完整性，例如当证书更新或者用户在同一时间登入多台计算机的情况，这样能够避免用户登入到每一台新计算机时都会自动注册证书。

任意时间一个私钥或证书在用户的本地证书存储中变更时，证书漫游都会被触发，无论用户什么时候锁定或解锁计算机，以及组策略的刷新时间。

所有本地计算机组件之间和本地计算机与AD域之间证书相关的通信都是被签名和加密的，Win7及更高版本的操作系统能够支持证书漫游功能。

注册代理

在Windows2012CA中，它可以代表其他用户去配置证书注册，要实现这个，我们必须颁发一个特定的证书，这个证书是基于注册代理模板生成的。当用户获取了这个基于注册代理模板的证书时，他就能够代表其他的用户去注册证书。与证书管理器不同的是，注册代理只能处理注册请求，它不能批准挂起的请求或吊销已颁发的证书。

注意：注册代理是一种高安全性风险的证书，拥有注册代理证书的人可以冒充他人，因为他可以代表其他用户去颁发证书，所以你需要确保这个证书模板有良好的保护机制。

Windows2012包含了下面的三种证书模板，他们允许不同类型的注册代理：

1. 注册代理。被用来代表其他对象去申请证书

2. 注册代理(计算机)。被用来代表其他计算机对象去申请证书

3. 交换注册代理(离线请求)。被用来代表其他对象申请证书，并提供请求中的对象名称。NDES(网络设备注册服务)使用这个模板作为它的注册代理证书。

当你创建一个注册代理时，你可以更进一步的改进代理的注册能力，它可以通过群组和证书模板代表其他用户注册证书。例如，我想部署一个受限的注册代理，它只能够注册智慧卡的登入证书，并且只嗯呢该为特定的办公室成员或某个基于安全性群组创建的OU。

在旧版的Windows CA中，是无法让注册代理仅为某一个特定群组中的用户注册的，它能实现的只会是每个用户都有注册代理证书，他们都可以代表企业中的其他用户注册证书。

Windows2008企业版操作系统引入了受限注册代理功能。这个功能允许我们去限制用户的权限，这个用户是被指派为注册代理的用户，他可以代表其他用户或注册智慧卡证书。

在企业中通常会有一个或多个个体被指派为注册代理。这些注册代理需要被颁发注册代理证书，让他们能够代表其他用户去注册证书。注册代理一般是企业安全性群组，IT安全性群组，桌面组的成员，因为这些个体都是掌控安全防护资源的对象。在一些企业中，例如有多个支行的银行，桌面组和安全性管理者不方便本地的去执行这个任务，这种情况下，我们可以指派分部的经理或其他可信赖的雇员作为注册代理，让他去代表各地的用户申请智慧卡证书。

在Windows2012 CA,首先注册代理功能允许一个注册代理被用于一个或多个证书模板。在每个证书模板中，我们可以选择注册代理能够代表注册的用户或安全性组。我们不能将注册代理所代表的对象用特定域OU或容器来约束，只能使用安全性群组来约束。

注意：使用受限注册代理会影响到CA的性能，想要优化CA性能，我们需要最小化注册代理的账号数量，最小化注册代理的证书模板ACL的账号数量，推荐使用群组账号取代单独的用户账号作为他们的账号。