(接上篇)在以前,自動注冊是Windows中WINLogoN過程中的一部分,將它暴露給更多的攻擊。實際上,所有的Windows NT 服務已經被重新設計架構用作一個WMI 任務。這意味著Windows Vista 和 Windows Server 2008組件不會有象Windows Server 2003 和Windows XP那麼多的攻擊面。
證書到期前提前通知特性也被添加進來。換句話說,它就是當一個證書快要終止或已經終止的時候通知用戶。相關的場景是當自動注冊沒有啟用,計算機不能自動更新或代表用戶注冊一張證書。
憑據漫游
象前面提到的,憑據漫游在Windows Server 2003 SP1中已經被引入,現在是Windows Server 2008的一個組成部分。
憑據漫游的目的是減少不同計算機的憑據復制,它通過活動目錄將加密密鑰復制到用戶的計算機。
當用戶登錄計算機的時候,認證信息發送到服務器,在服務器上公鑰和私鑰被交換。通常,用戶的憑據將在工作站之間傳送通過使用漫游配置文件,這會引起負載增加。
通過憑據漫游,用戶的公鑰和私鑰將跟著用戶活動目錄對象不管他們使用哪台計算機。對於活動或漫游用戶,這提高了郵件保護、用戶認證和部署智能卡的能力。
注冊和憑據漫游的演示
在Windows Server 2008中,注冊用戶接口被提高了很多。同時,對於可用性、靈活性和支持性都得到增強。為了簡單起見,我們將從同一台計算機即我們的CA服務器注冊一張新證書。通常情況下,我們能夠從域內任何一台計算機或服務器上注冊。我們打開證書MMC。位於我們當前證書用戶樹下的個人文件夾將顯示該用戶的當前所有證書。如圖14所示。
在該演示中,我們將請求一張新用戶證書。我們能夠通過Action菜單來完成它。注冊用戶接口給我們提供了很多新選項,與以前的版本相比。我們將只配置該服務器接受一些不同類型的認證,但是我們能夠看到這些可用選項,即使它們沒有被使用。如圖15所示。
我們能夠直接指派證書到一台計算機。因為憑據漫游,這不在是一個缺省選項。如圖16所示。
User Option Details 能夠被展開和查看在該證書被創建之前。Certificate Properties窗口將給我們進一步個性化該證書在它被提交之前。
我們能夠為該證書指定一個測試名稱如果以後我們需要識別它。如圖17所示。Subject 欄給我們指派特定屬性給用戶證書的機會。與證書關聯的私鑰的持有者被稱為主題。它可以是一個用戶、一個程序或虛擬的任何對象或服務。因為根據哪個人或它是什麼主題會不同,當提供主題名稱在證書請求的時候需要一些靈活性。Windows 要麼自動生成主題名稱要麼手動從主題中請求。如果它自動提供主題名稱,Windows 從活動目錄中獲取這些信息。名稱可能是從電子郵件名稱到指定的組織單元的任何對象。如圖18所示。
Extensions欄有證書使用類型的特殊擴展。這些選項中的每個都能夠編輯。Key Usage 允許我們對該配置做一些小的修改。如圖19所示。
Basic Constraints細節也能夠被修改。如圖20所示。
Private Key 欄顯示了我們配置證書授權機構的選項。這些條目中的選項也能夠被自定義,基於您想要的功能。如圖21所示。
證書授權機構欄簡單地確認先從哪個CA查找它要求的密鑰。如圖22所示。
最後,我們能夠注冊證書,如圖23所示。它將被保存在本地計算機上。這些證書能夠通過證書MMC來查看。
對於部署PKI基礎結構來說,證書服務在管理性和易用性方面都得到了增強。
