AD CS是什么
關(guān)于這個問題,有幾個概念需要先弄明白:PKI、CA、數(shù)字證書。
PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺,實現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲、分布和撤銷等功能。CA是PKI的核心執(zhí)行機(jī)構(gòu),是PKI的主要組成部分,而數(shù)字證書是由CA頒發(fā)的,所以三者是從屬關(guān)系,既數(shù)字證書從屬于CA從屬于PKI。
PKI體系能夠?qū)崿F(xiàn)的功能包括身份驗證、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、操作的不可否認(rèn)性。企業(yè)通過采用KPI框架管理密鑰和證書,可以建立一個安全的網(wǎng)絡(luò)環(huán)境。
微軟的證書服務(wù),AD CS(Active Directory Certificate Service - AD CS)就是PKI的實現(xiàn),AD CS能夠與AD域控(Active Directory Domain Services - AD DS)進(jìn)行結(jié)合,用于身份驗證、公鑰加密和數(shù)字簽名等。AD CS提供所有與PKI相關(guān)的組件作為角色服務(wù),包括CA證書頒發(fā)機(jī)構(gòu)等。每個角色服務(wù)負(fù)責(zé)證書基礎(chǔ)架構(gòu)的特定部分,同時協(xié)同以工作形成完整的解決方案。
AD CS相較于現(xiàn)有的AD權(quán)限維持或者提權(quán)的方式,如增加管理員用戶、修改用戶密碼、黃金及白銀票據(jù)等,有更加隱秘、更加持久的優(yōu)勢,已被普遍用來管理域內(nèi)的證書簽發(fā)和鑒權(quán)。
AD CS有哪些能力
AD CS的能力主要是:
- 客戶端、服務(wù)端證書的簽發(fā)和管理
- 證書吊銷管理,CRL和OCSP
- 證書模版
- 證書策略(配合組策略進(jìn)行證書自動簽發(fā)和安裝信任等)
AD CS頒發(fā)的證書,主要應(yīng)用場景:
- SSL加密通信:例如為內(nèi)網(wǎng)應(yīng)用服務(wù)器簽發(fā)服務(wù)器證書,使加域計算機(jī)可以通過Https安全訪問應(yīng)用;
- 身份驗證加固:例如訪問郵箱等重要系統(tǒng)時,在身份驗證過程中使用證書進(jìn)行二次驗證;
- 網(wǎng)絡(luò)安全訪問:網(wǎng)絡(luò)準(zhǔn)入使用用戶證書,實現(xiàn)EAP-TLS 802.1x等證書認(rèn)證方式。
如何替代AD CS
需要先整理當(dāng)前AD CS使用到的場景,一一確定替代方案。通常梳理下來需要解決的問題有:
- AD CA已頒發(fā)的CA證書的批量遷移
- AD CA已頒發(fā)的CA證書的續(xù)簽
- 已使用的AD CS的證書模板,新的PKI系統(tǒng)如何支持
- 已使用的AD CS的證書策略,新的PKI系統(tǒng)如何支持
- 待完成以上工作后,方可考慮關(guān)閉AD CS。
寧盾國產(chǎn)域管除可替代AD域控外,還提供了NDCA證書服務(wù),以替代微軟AD CS。 寧盾國產(chǎn)域管證書服務(wù),能力等同AD CS,可以支持AD CS的功能。
對于AD CS的替換,有兩種情況:
第一種:應(yīng)用因兼容性、替換遷移實施成本等原因,仍然需要使用AD證書PKI體系。寧盾支持將AD簽發(fā)的CA根證書導(dǎo)入到NDCA中,繼續(xù)使用原CA證書進(jìn)行客戶端和服務(wù)器證書的續(xù)簽、吊銷等管理。
第二種:網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用證書認(rèn)證等場景,使用寧盾PKI體系,對客戶端和服務(wù)端簽發(fā)證書,并實現(xiàn)雙向認(rèn)證,也就是NDCA直接替換掉AD CS。
如果您企業(yè)有以上場景需求或者有技術(shù)問題,歡迎咨詢交流,共同探討。
關(guān)于寧盾:一家企業(yè)級身份基礎(chǔ)設(shè)施提供商,解決國產(chǎn)化和業(yè)務(wù)上云帶來傳統(tǒng)身份基礎(chǔ)架構(gòu)替代和升級問題,產(chǎn)品涵蓋寧盾多因素認(rèn)證、寧盾網(wǎng)絡(luò)準(zhǔn)入、寧盾國產(chǎn)化身份域管;致力于為客戶提供安全、可靠、高效的身份基礎(chǔ)設(shè)施解決方案。