Windows Server 2012 的 AD CS 中提供了数项新功能。包括:

  • 与服务器管理器集成
  • 来自 Windows PowerShell? 的部署和管理功能
  • 所有 AD CS 角色服务都可在任何 Windows Server 2012 版本上运行。
  • 所有 AD CS 角色服务都可以在服务器核心上运行。
  • 支持非加入域计算机的证书自动续订
  • 强制要求使用相同密钥证书续订
  • 支持国际化域名
  • 默认在 CA 角色服务上启用增强的安全性

其中“在 CA 角色服务上启用增强的安全性”的属性要求证书申请加密。

CA 会在发送给自己的申请中强制实施增强的安全性。这一较高的安全级别要求申请证书的数据包加密,从而防止它们被截获和读取。如果不启用这一设置,访问网络的任何人都能使用网络分析器读取进出 CA 的数据包。这就意味着可能导致违反隐私的信息暴露,例如申请用户或计算机的名称、他们注册的证书类型、涉及的公钥等。在林或域中,泄露这些数据对于大部分组织可能不算问题。但是如果***者获取了对网络流量的访问权,内部公司结构和活动就可能被收集并用于更具针对性的社会工程或钓鱼***。

1、用颁发机构上启用增强安全级别

在 Windows Server(R) 2003、Windows Server(R) 2003 R2、Windows Server(R) 2008 或 Windows Server 2008 R2 证书颁发

机构运行命令:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
重新启动证书颁发机构
net stop certsvc
net start certsvc

2、Windows XP 客户端计算机向已启用该设置的 CA 申请证书时,必须在Windows Server 2012的CA降低其安全级别,否则无法申

请成功。

快照1

在CA上运行 ertutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

重新启动证书颁发机构  net stop certsvc &&  net start certsvc