管理憑證註冊
CA 的用途是允許使用者和裝置註冊及使用憑證。 不過,這種方式就像使用 CA 實作一樣,需要審慎的規劃和準備,以決定 CA 可以發行的憑證類型。
什麼是憑證?
憑證是一個小型檔案,其中包含有關其擁有者的幾項資訊。 此資料可以包含擁有者的電子郵件地址、擁有者名稱、憑證使用類型、有效期間,以及 AIA 和 CDP 位置的 URL。
憑證也包含公開金鑰和對應的中繼資料,其中包含私密金鑰和對應的公開金鑰。 您可以在驗證身分識別、數位簽章和加密的程序中使用這些金鑰。 每個憑證產生的金鑰組都有下列條件:
- 使用公開金鑰加密內容時,只能使用私密金鑰進行解密。
- 使用私密金鑰加密內容時,只能使用公開金鑰進行解密。
- 單一金鑰組中金鑰之間的關聯性不牽涉到其他金鑰。
- 私密金鑰無法從公開金鑰以合理的時間量衍生,反之亦然。
在憑證註冊程序過程中,用戶端會產生公開/私密金鑰組。 接著,用戶端會將公開金鑰傳送給 CA,以確認用戶端資訊、使用自己的私密金鑰來簽署,然後將包含用戶端公開金鑰的憑證傳送回用戶端。
注意
您可以將憑證想成是驅動程式的授權。 許多企業都接受駕照作為身分識別形式,因為他們認為執照簽發者 (政府機構) 是值得信任的。 由於企業了解某人可以取得駕照的程序,因此信任簽發者在發出授權之前,會先驗證個人的身分識別。 因此,駕照可接受為有效的識別形式。 憑證信任是以類似的方式建立。
什麼是憑證範本?
憑證範本會定義使用者和裝置如何根據該範本來要求和使用企業 CA 發行的憑證。 例如,您可以建立可提供檔案加密或電子郵件簽署功能的範本。 CA 依賴 AD DS 來儲存您所設定的範本。
重要
只有在使用企業 CA 時,才可以使用憑證範本。 這表示,使用獨立 CA 時,必須手動建立每個憑證要求,並包含憑證中包含的所有必要資訊。
CA 提供適用於使用者和電腦的範本。 您可以將權限指派給憑證範本,以定義誰可以進行管理、誰可以執行註冊或自動註冊,以及其有效性和更新期間。 您可以藉由複製預先定義的憑證範本來套用其他修改。 若要讓範本可供使用者和裝置使用,您必須明確允許其使用方式。
範本版本
Windows Server AD CS 中的 CA 支援四個版本的憑證範本,但是有下列功能差異:
- 第 1 版範本。 這些範本可讓您僅修改憑證的相關權限。 當您安裝 CA 時,預設會建立第 1 版的憑證範本。
- 第 2 版範本。 使用這些範本,您可以自訂其他設定,例如有效性和更新期間。 這也是支援自動註冊的最低版本。 AD CS 的預設安裝會提供數個預先設定的第 2 版範本。 您可以建立第 2 版範本,或複製第 1 版憑證範本以建立新的第 2 版範本。
- 第 3 版範本。 第 3 版憑證範本支援新一代的密碼編譯 (CNG)。 CNG 支援進階密碼編譯演算法。 您可以複製預設的第 1 版和第 2 版範本,將其升級為第 3 版。 當您使用第 3 版憑證範本時,您可以針對憑證要求、發行的憑證,以及金鑰交換和金鑰保存案例的私密金鑰保護,使用 CNG 加密和雜湊演算法。
- 第 4 版範本。 第 4 版憑證範本支援密碼編譯服務提供者 (CSP) 和金鑰儲存提供者。 您也可以將其設定為需要使用相同的金鑰進行更新。
示範
下列影片示範如何:
- 根據 Web 伺服器範本建立新的範本。
- 設定範本,以便可以發出這些範本。
此程序的主要步驟如下:
- 建立 AD DS 環境。 建立單一網域 AD DS 樹系。
- 部署企業根 CA。
- 建立自訂憑證範本。 使用 [憑證範本] 主控台來複製 Web 伺服器範本。
- 設定範本,以便可以發出範本。 使用 [憑證授權單位] 主控台,讓範本可供使用。