( 接上篇)委派注冊代理功能允許准確地定義一個注冊代理能夠做什麼不能夠做什麼。它允許你為某人委派一個臨時的智能卡注冊,象組建一個接待員,萬一某個用戶將他/她的智能卡丟在家中。
接下來增加的特性是被稱為網絡設備注冊服務,或SCEP,被集成到本地安裝中。這是一個簡單的特性,它允許用戶通過正常的Windows安裝為它們的憑據注冊。
易管理性是一個重要的功能,它被大大地提高了。例如,性能計數器已經被添加到證書服務中,允許PKI管理員更容易地監控整個組織的CA的性能。
證書服務易管理性演示
Windows Reliability 和Performance Monitor是一個MMC,它提供了分析系統性能的工具。該工具提供了監視和記錄Windows Server 2008 許多方面的性能的一個方法。
缺省的監視器顯示了當前的處理器使用。在我們的演示中不需要它。要增加一個性能監視器,我們點擊工具欄中的Add Counter按鈕。可用的計數器列表將顯示操作系統中所有可用的計數器。今天我們要關注的是關於證書服務的。
通過展開CA您將看到可用選項的一個列表。這些選項將讓我們更好地理解那些配置選項是最好的對於一個特定的環境。我們將添加請求處理時間作為我們的CA計數器。如圖24所示。
我們能夠監視我們的OCSP配置,我們將監視請求處理時間為該服務。如圖25所示。
現在選中的計數器被再一次顯示在Details 欄中。對於象這樣小的數據集的計數器,離線作為報告來查看將更好。如圖26所示。對大量的數據來說將結果變成圖形將是最好的。
因為我們將只監視一個請求,這是不夠的。報告顯示了CA的請求處理時間的合計,對於OCSP 服務器來說也一樣。
我們將創建另外一張新證書,然後監視我們的結果。該證書將是已經被創建的證書的重復。
在Reliability 和Performance Monitor中,現在CA 請求處理時間計數器將有一個值。如圖27所示。
Windows Server 2008中的委派注冊功能允許比以前更精確地配置委派選項。委派注冊代理允許限制注冊代理、證書模板和用戶。以前的系統允許PKI注冊代理代表森林中的任何人注冊任何類型的證書。
我們將關注委派注冊代理的可用特性,在它的配置中。當我們啟用限制我們將看到警告,確認這個功能只在Windows Server 2008 服務器上生效。如圖28所示。
注冊代理部分允許限制某個域中某個指定的注冊代理。這些能夠被增加或刪除從Enrollment Agents 欄中。當您限制注冊代理,一個警告消息出現,它提示委派注冊代理上的限制只能夠在Windows Server 2008和後續版本中的CA上強制生效。在設計委派注冊代理之前,確認您的注冊代理策略是適用您的PKI環境。
證書模板部分允許限制CA中不同的注冊模板。權限部分限制指定用戶的權限在注冊的時候。