通过凭据漫游,组织可以在 Active Directory 域服务 (AD DS) 中将证书和私钥存储在与应用程序状态或配置信息不同的位置。
凭据漫游的工作方式
凭据漫游使用现有登录和自动注册机制,使得无论用户何时登录都可以安全地将证书和密钥下载到本地计算机,且如有需要在用户注销时将其删除。此外,在任何条件(如更新证书时和用户同时登录到多台计算机时)下都保持这些凭据的完整性。
下列步骤描述数字凭据漫游的工作方式。
-
用户登录到连接到 Active Directory 域的客户端计算机。
-
作为登录过程的一部分,凭据漫游组策略应用于用户计算机。
-
如果是第一次使用凭据漫游,则客户端计算机上用户存储区中的证书将被复制到 AD DS 中。
-
如果在 AD DS 中已存在用户的证书,则客户端计算机上用户证书存储区中的证书将与 AD DS 中用户存储的证书进行比较。
-
如果用户证书存储区中的证书是当前证书,则不执行其他操作。不过,如果 AD DS 中存储的用户的证书较新,则这些凭据将复制到客户端计算机中。如果客户端计算机上存储的用户证书较新,则这些凭据将复制到 AD DS 中。
-
如果客户端计算机上需要其他证书,则将处理未完成的证书自动注册申请。
注意 新颁发的证书存储在客户端计算机上的证书存储区中,并复制到 AD DS 中。
-
当用户登录到连接到域的其他客户端计算机时,将应用相同的组策略设置,并将再次从 AD DS 中复制凭据。凭据漫游会同步并解决来自用户所登录的任何数量客户端计算机(以及 AD DS 中)的证书与私钥之间的所有冲突。
重要 在多域环境和具有多个域控制器的域中,如果用户使用一个域控制器登录到网络,而不久前才在计算机上向该用户颁发了对另一个域控制器验证其身份的证书,则凭据可能不会立即可用。仅在两个域或域控制器之间完成复制后,凭据才可用。
-
当用户证书到期时,旧证书会自动存档在计算机的用户配置文件和 AD DS 中。
每当用户锁定计算机或解除计算机的锁定时,或者刷新组策略时,只要用户的本地证书存储区中的私钥或证书更改,就会触发凭据漫游。
对本地计算机组件之间以及本地计算机与 AD DS 之间所有与证书相关的通信都进行签名和加密。