CA的安裝模式,可以是獨立CA或企業CA,基於域環境最好使用企業CA的搭建方式。在域環境中,CA部署後能自動與域賬戶做關聯,便於將來使用更多的高級應用。
CA安裝的位置,建議單獨放在一臺域成員服務器安裝。但最好不放在域控制器上,因爲域控制器上放置了CA後,如果要調整或降級域控制器需要首先卸載CA中心。如果需要保留CA,還需要做遷移。當然,放在域控制器上也沒有技術上的限制。
CA的常見使用場景:
1、做服務器之間雙向驗證,分別給需要通訊的兩臺服務器創建證書,通過身份驗證才能通信。通常是服務器之間驗證身份時使用。
2、做服務器與終端機驗證,終端機必須有能使用的證書才能訪問服務器。通常是終端到服務器上做驗證身份。例如終端remote到服務端時、終端驗證到域控制器或其他自定義應用。
3、做服務器驗證,只需要申請服務器證書導入到終端。通常是某些web加密服務使用,例如Exchange Server中的OWA SSL通常使用此驗證,也可“要求客戶端證書”做雙向驗證。
CA在windows server 各版本的功能區別。
步驟 |
Windows Server 操作系統 |
安裝和配置企業根 CA。 |
Standard Edition |
驗證 CA 安裝。 |
Standard Edition |
安裝證書模板。 |
Standard Edition |
創建自定義證書模板。 |
Enterprise Edition 或 Datacenter Edition |
爲客戶端自動註冊功能配置證書模板。 |
Enterprise Edition 或 Datacenter Edition |
爲默認證書模板授予註冊權。 |
Standard Edition |
配置 CA 以頒發基於證書模板的證書。 |
如果需要版本 2 的證書模板則是企業版,否則就是標準版。否則,爲 Standard Edition |
爲無線用戶建立自動註冊功能。 |
Enterprise Edition |