AD CS是什么

關(guān)于這個(gè)問題，有幾個(gè)概念需要先弄明白：PKI、CA、數(shù)字證書。

PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，實(shí)現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲(chǔ)、分布和撤銷等功能。CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，而數(shù)字證書是由CA頒發(fā)的，所以三者是從屬關(guān)系，既數(shù)字證書從屬于CA從屬于PKI。

PKI體系能夠?qū)崿F(xiàn)的功能包括身份驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、操作的不可否認(rèn)性。企業(yè)通過采用KPI框架管理密鑰和證書，可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

微軟的證書服務(wù)，AD CS（Active Directory Certificate Service - AD CS）就是PKI的實(shí)現(xiàn)，AD CS能夠與AD域控（Active Directory Domain Services - AD DS）進(jìn)行結(jié)合，用于身份驗(yàn)證、公鑰加密和數(shù)字簽名等。AD CS提供所有與PKI相關(guān)的組件作為角色服務(wù)，包括CA證書頒發(fā)機(jī)構(gòu)等。每個(gè)角色服務(wù)負(fù)責(zé)證書基礎(chǔ)架構(gòu)的特定部分，同時(shí)協(xié)同以工作形成完整的解決方案。

AD CS相較于現(xiàn)有的AD權(quán)限維持或者提權(quán)的方式，如增加管理員用戶、修改用戶密碼、黃金及白銀票據(jù)等，有更加隱秘、更加持久的優(yōu)勢(shì)，已被普遍用來(lái)管理域內(nèi)的證書簽發(fā)和鑒權(quán)。

AD CS有哪些能力

AD CS的能力主要是：

• 客戶端、服務(wù)端證書的簽發(fā)和管理
• 證書吊銷管理，CRL和OCSP
• 證書模版
• 證書策略（配合組策略進(jìn)行證書自動(dòng)簽發(fā)和安裝信任等）

AD CS頒發(fā)的證書，主要應(yīng)用場(chǎng)景：

• SSL加密通信：例如為內(nèi)網(wǎng)應(yīng)用服務(wù)器簽發(fā)服務(wù)器證書，使加域計(jì)算機(jī)可以通過Https安全訪問應(yīng)用；
• 身份驗(yàn)證加固：例如訪問郵箱等重要系統(tǒng)時(shí)，在身份驗(yàn)證過程中使用證書進(jìn)行二次驗(yàn)證；
• 網(wǎng)絡(luò)安全訪問：網(wǎng)絡(luò)準(zhǔn)入使用用戶證書，實(shí)現(xiàn)EAP-TLS 802.1x等證書認(rèn)證方式。

如何替代AD CS

需要先整理當(dāng)前AD CS使用到的場(chǎng)景，一一確定替代方案。通常梳理下來(lái)需要解決的問題有：

1. AD CA已頒發(fā)的CA證書的批量遷移
2. AD CA已頒發(fā)的CA證書的續(xù)簽
3. 已使用的AD CS的證書模板，新的PKI系統(tǒng)如何支持
4. 已使用的AD CS的證書策略，新的PKI系統(tǒng)如何支持
5. 待完成以上工作后，方可考慮關(guān)閉AD CS。

寧盾國(guó)產(chǎn)域管除可替代AD域控外，還提供了NDCA證書服務(wù)，以替代微軟AD CS。 寧盾國(guó)產(chǎn)域管證書服務(wù)，能力等同AD CS，可以支持AD CS的功能。

對(duì)于AD CS的替換，有兩種情況：

第一種：應(yīng)用因兼容性、替換遷移實(shí)施成本等原因，仍然需要使用AD證書PKI體系。寧盾支持將AD簽發(fā)的CA根證書導(dǎo)入到NDCA中，繼續(xù)使用原CA證書進(jìn)行客戶端和服務(wù)器證書的續(xù)簽、吊銷等管理。

第二種：網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用證書認(rèn)證等場(chǎng)景，使用寧盾PKI體系，對(duì)客戶端和服務(wù)端簽發(fā)證書，并實(shí)現(xiàn)雙向認(rèn)證，也就是NDCA直接替換掉AD CS。

如果您企業(yè)有以上場(chǎng)景需求或者有技術(shù)問題，歡迎咨詢交流，共同探討。

關(guān)于寧盾：一家企業(yè)級(jí)身份基礎(chǔ)設(shè)施提供商，解決國(guó)產(chǎn)化和業(yè)務(wù)上云帶來(lái)傳統(tǒng)身份基礎(chǔ)架構(gòu)替代和升級(jí)問題，產(chǎn)品涵蓋寧盾多因素認(rèn)證、寧盾網(wǎng)絡(luò)準(zhǔn)入、寧盾國(guó)產(chǎn)化身份域管；致力于為客戶提供安全、可靠、高效的身份基礎(chǔ)設(shè)施解決方案。