当前位置：首页 > news >正文

在替换微软AD的CA证书服务AD CS前，要先做哪些准备工作？

news 文章来源：https://blog.csdn.net/yuzijiang11111/article/details/137879324 2024/10/26 21:29:31

AD CS是什么

关于这个问题，有几个概念需要先弄明白：PKI、CA、数字证书。

PKI（Public Key Infrastructure，公钥基础设施）是提供公钥加密和数字签名服务的系统或平台，实现基于公钥密码体制的密钥和证书的产生、管理、存储、分布和撤销等功能。CA是PKI的核心执行机构，是PKI的主要组成部分，而数字证书是由CA颁发的，所以三者是从属关系，既数字证书从属于CA从属于PKI。

PKI体系能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性。企业通过采用KPI框架管理密钥和证书，可以建立一个安全的网络环境。

微软的证书服务，AD CS（Active Directory Certificate Service - AD CS）就是PKI的实现，AD CS能够与AD域控（Active Directory Domain Services - AD DS）进行结合，用于身份验证、公钥加密和数字签名等。AD CS提供所有与PKI相关的组件作为角色服务，包括CA证书颁发机构等。每个角色服务负责证书基础架构的特定部分，同时协同以工作形成完整的解决方案。

AD CS相较于现有的AD权限维持或者提权的方式，如增加管理员用户、修改用户密码、黄金及白银票据等，有更加隐秘、更加持久的优势，已被普遍用来管理域内的证书签发和鉴权。

AD CS有哪些能力

AD CS的能力主要是：

客户端、服务端证书的签发和管理
证书吊销管理，CRL和OCSP
证书模版
证书策略（配合组策略进行证书自动签发和安装信任等）

AD CS颁发的证书，主要应用场景：

SSL加密通信：例如为内网应用服务器签发服务器证书，使加域计算机可以通过Https安全访问应用；
身份验证加固：例如访问邮箱等重要系统时，在身份验证过程中使用证书进行二次验证；
网络安全访问：网络准入使用用户证书，实现EAP-TLS 802.1x等证书认证方式。

如何替代AD CS

需要先整理当前AD CS使用到的场景，一一确定替代方案。通常梳理下来需要解决的问题有：

AD CA已颁发的CA证书的批量迁移
AD CA已颁发的CA证书的续签
已使用的AD CS的证书模板，新的PKI系统如何支持
已使用的AD CS的证书策略，新的PKI系统如何支持
待完成以上工作后，方可考虑关闭AD CS。

宁盾国产域管除可替代AD域控外，还提供了NDCA证书服务，以替代微软AD CS。宁盾国产域管证书服务，能力等同AD CS，可以支持AD CS的功能。

对于AD CS的替换，有两种情况：

第一种：应用因兼容性、替换迁移实施成本等原因，仍然需要使用AD证书PKI体系。宁盾支持将AD签发的CA根证书导入到NDCA中，继续使用原CA证书进行客户端和服务器证书的续签、吊销等管理。

第二种：网络准入、应用证书认证等场景，使用宁盾PKI体系，对客户端和服务端签发证书，并实现双向认证，也就是NDCA直接替换掉AD CS。

如果您企业有以上场景需求或者有技术问题，欢迎咨询交流，共同探讨。

关于宁盾：一家企业级身份基础设施提供商，解决国产化和业务上云带来传统身份基础架构替代和升级问题，产品涵盖宁盾多因素认证、宁盾网络准入、宁盾国产化身份域管；致力于为客户提供安全、可靠、高效的身份基础设施解决方案。

AD CS是什么

AD CS有哪些能力

如何替代AD CS

相关文章：