Certificate
自動註冊到客戶端時生成證書 - AD CS
您可以使用 Microsoft Active Directory 證書服務在 Active Directory 環境中自動註冊電腦證書。
但是,在這件事上,如何為客戶生成證書呢?
以下兩個選項哪個是正確的:
- 客戶端創建 CSR 以供 AD CS (CA) 簽名。
- AD CS 生成所有內容並將其發送給客戶端。
第一個是最安全的,因為私鑰只存在於客戶端上。
第二個是最不安全的,因為私鑰也存在於 AD CS 上——即使它可能是暫時的。
第一個選項是正確的。
在 Microsoft ADCS 中,CA 伺服器僅對客戶端準備的請求進行簽名。客戶端使用客戶端 API 創建私鑰和 CSR(例如CertEnroll庫),然後呼叫ICertRequest::SubmitRequest方法向 CA 送出請求。簽名後,客戶端通過呼叫ICertRequest::GetCertificate方法檢索頒發的證書。
CA 無權訪問客戶端私鑰。但是,在實施密鑰存檔時有可能。客戶端將其密鑰安全地傳輸到 CA 伺服器,CA 使用密鑰恢復代理證書對 CA 數據庫中的密鑰進行加密。