É possível configurar os serviços de função dos Serviços de Certificados do Active Directory (AD CS) em servidores que executam sistemas operacionais como o Windows Server 2008 R2, o Windows Server 2008, o Windows Server 2003 e o Windows 2000 Server. Entretanto, nem todos os sistemas operacionais oferecem suporte para todos os recursos ou requisitos de design, e a criação de um design ideal requer um cuidadoso planejamento e teste em laboratório antes da implantação do AD CS em um ambiente de produção. Embora seja possível implantar o AD CS com um único servidor para uma única autoridade de certificação, as implantações podem envolver vários servidores configurados como autoridades de certificação raiz, autoridades de certificação de diretiva e autoridades de certificação de emissão, além de outros servidores configurados como Respondentes Online.
A tabela a seguir lista os componentes do AD CS que podem ser configurados em edições diferentes do Windows Server 2008 R2.
| Componentes | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
CA |
Não |
Sim |
Sim |
Sim |
|
Serviço de Registro do Dispositivo de Rede |
Não |
Não |
Sim |
Sim |
|
Serviço do Respondente Online |
Não |
Não |
Sim |
Sim |
|
Registro via Web na CA |
Não |
Sim |
Sim |
Sim |
Serviço da Web de Registro de Certificado. |
Não |
Sim |
Sim |
Sim |
Serviço da Web de Diretiva de Registro de Certificado |
Não |
Sim |
Sim |
Sim |
Os recursos a seguir estão disponíveis em servidores que executam o Windows Server 2008 R2 e que tenham sido configurados como autoridades de certificação.
| Recursos do AD CS | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
Modelos personalizáveis de certificado versão 2 e versão 3 |
Não |
Sim |
Sim |
Sim |
|
Arquivamento de chave |
Não |
Não |
Sim |
Sim |
|
Separação de função |
Não |
Não |
Sim |
Sim |
|
Restrições do gerenciador de certificados |
Não |
Não |
Sim |
Sim |
|
Restrições do agente de registro delegado |
Não |
Não |
Sim |
Sim |
|
Registro de certificado além dos limites da floresta |
Não |
Não |
Sim |
Sim |
Personalizando o AD CS
O AD CS contém interfaces programáveis para que os desenvolvedores possam criar suporte para transportes adicionais, diretivas e propriedades e formatos de certificado. Para obter mais informações sobre a personalização do AD CS, consulte o documento sobre arquiteturas de serviços de certificados (
Gerenciando o AD CS
Os snap-ins do MMC (Console de Gerenciamento Microsoft) a seguir podem ser usados para gerenciar o AD CS:
-
Autoridades de Certificação A principal ferramenta para gerenciar uma autoridade de certificação, revogação de certificado e registro de certificado.
-
Modelos de Certificado Usados para duplicar e configurar modelos de certificado para publicação para o AD DS (Serviços de Domínio Active Directory) e para usar com autoridades de certificação corporativas.
-
Respondente Online. Usado para configurar e gerenciar respondentes do OCSP (protocolo de status de certificado online).
-
Enterprise PKI Usado para monitorar várias CAs, CRLs (listas de certificados revogados) e locais de acesso a informações de autoridade e para gerenciar objetos do AD CS publicados no AD DS.
-
Certificados Usados para exibir e gerenciar armazenamentos de certificado para um computador, usuário ou serviço.