AD CS是什么
關于這個問題,有幾個概念需要先弄明白:PKI、CA、數字證書。
PKI(Public Key Infrastructure,公鑰基礎設施)是提供公鑰加密和數字簽名服務的系統或平臺,實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分布和撤銷等功能。CA是PKI的核心執行機構,是PKI的主要組成部分,而數字證書是由CA頒發的,所以三者是從屬關系,既數字證書從屬于CA從屬于PKI。
PKI體系能夠實現的功能包括身份驗證、數據完整性、數據機密性、操作的不可否認性。企業通過采用KPI框架管理密鑰和證書,可以建立一個安全的網絡環境。
微軟的證書服務,AD CS(Active Directory Certificate Service - AD CS)就是PKI的實現,AD CS能夠與AD域控(Active Directory Domain Services - AD DS)進行結合,用于身份驗證、公鑰加密和數字簽名等。AD CS提供所有與PKI相關的組件作為角色服務,包括CA證書頒發機構等。每個角色服務負責證書基礎架構的特定部分,同時協同以工作形成完整的解決方案。
AD CS相較于現有的AD權限維持或者提權的方式,如增加管理員用戶、修改用戶密碼、黃金及白銀票據等,有更加隱秘、更加持久的優勢,已被普遍用來管理域內的證書簽發和鑒權。
AD CS有哪些能力
AD CS的能力主要是:
- 客戶端、服務端證書的簽發和管理
- 證書吊銷管理,CRL和OCSP
- 證書模版
- 證書策略(配合組策略進行證書自動簽發和安裝信任等)
AD CS頒發的證書,主要應用場景:
- SSL加密通信:例如為內網應用服務器簽發服務器證書,使加域計算機可以通過Https安全訪問應用;
- 身份驗證加固:例如訪問郵箱等重要系統時,在身份驗證過程中使用證書進行二次驗證;
- 網絡安全訪問:網絡準入使用用戶證書,實現EAP-TLS 802.1x等證書認證方式。
如何替代AD CS
需要先整理當前AD CS使用到的場景,一一確定替代方案。通常梳理下來需要解決的問題有:
- AD CA已頒發的CA證書的批量遷移
- AD CA已頒發的CA證書的續簽
- 已使用的AD CS的證書模板,新的PKI系統如何支持
- 已使用的AD CS的證書策略,新的PKI系統如何支持
- 待完成以上工作后,方可考慮關閉AD CS。
寧盾國產域管除可替代AD域控外,還提供了NDCA證書服務,以替代微軟AD CS。 寧盾國產域管證書服務,能力等同AD CS,可以支持AD CS的功能。
對于AD CS的替換,有兩種情況:
第一種:應用因兼容性、替換遷移實施成本等原因,仍然需要使用AD證書PKI體系。寧盾支持將AD簽發的CA根證書導入到NDCA中,繼續使用原CA證書進行客戶端和服務器證書的續簽、吊銷等管理。
第二種:網絡準入、應用證書認證等場景,使用寧盾PKI體系,對客戶端和服務端簽發證書,并實現雙向認證,也就是NDCA直接替換掉AD CS。
如果您企業有以上場景需求或者有技術問題,歡迎咨詢交流,共同探討。
關于寧盾:一家企業級身份基礎設施提供商,解決國產化和業務上云帶來傳統身份基礎架構替代和升級問題,產品涵蓋寧盾多因素認證、寧盾網絡準入、寧盾國產化身份域管;致力于為客戶提供安全、可靠、高效的身份基礎設施解決方案。