Certificate

自動註冊到客戶端時生成證書 - AD CS

  • June 2, 2017

您可以使用 Microsoft Active Directory 證書服務在 Active Directory 環境中自動註冊電腦證書。

但是,在這件事上,如何為客戶生成證書呢?

以下兩個選項哪個是正確的:

  1. 客戶端創建 CSR 以供 AD CS (CA) 簽名。
  2. AD CS 生成所有內容並將其發送給客戶端。

第一個是最安全的,因為私鑰只存在於客戶端上。

第二個是最不安全的,因為私鑰也存在於 AD CS 上——即使它可能是暫時的。

第一個選項是正確的。

在 Microsoft ADCS 中,CA 伺服器僅對客戶端準備的請求進行簽名。客戶端使用客戶端 API 創建私鑰和 CSR(例如CertEnroll庫),然後呼叫ICertRequest::SubmitRequest方法向 CA 送出請求。簽名後,客戶端通過呼叫ICertRequest::GetCertificate方法檢索頒發的證書。

CA 無權訪問客戶端私鑰。但是,在實施密鑰存檔時有可能。客戶端將其密鑰安全地傳輸到 CA 伺服器,CA 使用密鑰恢復代理證書對 CA 數據庫中的密鑰進行加密。

引用自:https://serverfault.com/questions/851651