Windows Server 2012 的 AD CS 中提供了數(shù)項新功能��。包括:
- 與服務器管理器集成
- 來自 Windows PowerShell? 的部署和管理功能
- 所有 AD CS 角色服務都可在任何 Windows Server 2012 版本上運行��。
- 所有 AD CS 角色服務都可以在服務器核心上運行�����。
- 支持非加入域計算機的證書自動續(xù)訂
- 強制要求使用相同密鑰證書續(xù)訂
- 支持國際化域名
- 默認在 CA 角色服務上啟用增強的安全性
其中“在 CA 角色服務上啟用增強的安全性”的屬性要求證書申請加密��。
CA 會在發(fā)送給自己的申請中強制實施增強的安全性����。這一較高的安全級別要求申請證書的數(shù)據(jù)包加密,從而防止它們被截獲和讀取����。如果不啟用這一設置,訪問網(wǎng)絡的任何人都能使用網(wǎng)絡分析器讀取進出 CA 的數(shù)據(jù)包��。這就意味著可能導致違反隱私的信息暴露�,例如申請用戶或計算機的名稱、他們注冊的證書類型���、涉及的公鑰等�。在林或域中,泄露這些數(shù)據(jù)對于大部分組織可能不算問題��。但是如果攻擊者獲取了對網(wǎng)絡流量的訪問權(quán)����,內(nèi)部公司結(jié)構(gòu)和活動就可能被收集并用于更具針對性的社會工程或釣魚攻擊。
1��、用頒發(fā)機構(gòu)上啟用增強安全級別
在 Windows Server(R) 2003��、Windows Server(R) 2003 R2���、Windows Server(R) 2008 或 Windows Server 2008 R2 證書頒發(fā)
機構(gòu)運行命令:
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
重新啟動證書頒發(fā)機構(gòu)
net stop certsvc
net start certsvc
2、Windows XP 客戶端計算機向已啟用該設置的 CA 申請證書時����,必須在Windows Server 2012的CA降低其安全級別,否則無法申
請成功�����。
在CA上運行 ertutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
重新啟動證書頒發(fā)機構(gòu) net stop certsvc && net start certsvc
本文出自 “從心開始” 博客����,請務必保留此出處http://ycrsjxy.blog.51cto.com/618627/1049310
