CA的安装模式,可以是独立CA或企业CA,基于域环境最好使用企业CA的搭建方式。在域环境中,CA部署后能自动与域账户做关联,便于将来使用更多的高级应用。
CA安装的位置,建议单独放在一台域成员服务器安装。但最好不放在域控制器上,因为域控制器上放置了CA后,如果要调整或降级域控制器需要首先卸载CA中心。如果需要保留CA,还需要做迁移。当然,放在域控制器上也没有技术上的限制。
CA的常见使用场景:
1、做服务器之间双向验证,分别给需要通讯的两台服务器创建证书,通过身份验证才能通信。通常是服务器之间验证身份时使用。
2、做服务器与终端机验证,终端机必须有能使用的证书才能访问服务器。通常是终端到服务器上做验证身份。例如终端remote到服务端时、终端验证到域控制器或其他自定义应用。
3、做服务器验证,只需要申请服务器证书导入到终端。通常是某些web加密服务使用,例如Exchange Server中的OWA SSL通常使用此验证,也可“要求客户端证书”做双向验证。
CA在windows server 各版本的功能区别。
|
步骤 |
Windows Server 操作系统 |
|
安装和配置企业根 CA。 |
Standard Edition |
|
验证 CA 安装。 |
Standard Edition |
|
安装证书模板。 |
Standard Edition |
|
创建自定义证书模板。 |
Enterprise Edition 或 Datacenter Edition |
|
为客户端自动注册功能配置证书模板。 |
Enterprise Edition 或 Datacenter Edition |
|
为默认证书模板授予注册权。 |
Standard Edition |
|
配置 CA 以颁发基于证书模板的证书。 |
如果需要版本 2 的证书模板则是企业版,否则就是标准版。否则,为 Standard Edition |
|
为无线用户建立自动注册功能。 |
Enterprise Edition |
