Службы ролей служб сертификации Active Directory можно устанавливать на серверах, работающих под управлением операционных систем Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows 2000 Server. Однако не все операционные системы поддерживают функциональные возможности или требования разработки, поэтому для создания оптимальной разработки требуется тщательное планирование и лабораторное тестирование до развертывания доменных служб Active Directory в производственной среде. Хотя доменные службы Active Directory можно развернуть на одном сервере с одним центром сертификации, развертывание может происходить и на нескольких серверах, настроенных как корневые центры сертификации, центры сертификации политик и центры сертификации, выдающие сертификаты, а также на серверах, настроенных как сетевые ответчики.
В приведенной ниже таблице перечислены компоненты служб сертификации Active Directory, которые можно настроить в различных выпусках Windows Server 2008 R2.
| Компоненты | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
ЦС |
Нет |
Да |
Да |
Да |
|
Служба регистрации сетевых устройств |
Нет |
Нет |
Да |
Да |
|
Служба сетевого ответчика |
Нет |
Нет |
Да |
Да |
|
Регистрация в ЦС через Интернет |
Нет |
Да |
Да |
Да |
Веб-служба регистрации сертификатов |
Нет |
Да |
Да |
Да |
Веб-служба политик регистрации сертификатов |
Нет |
Да |
Да |
Да |
Указанные ниже функциональные возможности доступны на серверах, работающих под управлением Windows Server 2008 R2 и настроенных как центры сертификации.
| Возможности служб сертификации Active Directory | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
Настраиваемые шаблоны сертификатов версии 2 и 3 |
Нет |
Да |
Да |
Да |
|
Архивация ключа |
Нет |
Нет |
Да |
Да |
|
Разделение ролей |
Нет |
Нет |
Да |
Да |
|
Ограничения диспетчера сертификатов |
Нет |
Нет |
Да |
Да |
|
Делегированные ограничения агента регистрации |
Нет |
Нет |
Да |
Да |
|
Регистрация сертификатов через границы лесов |
Нет |
Нет |
Да |
Да |
Настраиваемые службы сертификатов Active Directory
Службы сертификатов Active Directory содержат программируемые интерфейсы, с помощью которых разработчики могут обеспечивать поддержку дополнительных свойств и форматов транспортов, политик и сертификатов. Дополнительные сведения о настройке служб сертификатов Active Directory см. на веб-сайте, посвященном архитектуре служб сертификатов (
Управление службами сертификатов Active Directory
Для управления службами сертификатов Active Directory можно использовать следующие оснастки консоли управления (MMC):
-
Центр сертификации. Основное средство управления центром сертификации, а также отзывом сертификатов и запросов на сертификаты.
-
Шаблоны сертификатов. Используется для дублирования и настройки шаблонов сертификатов, предназначенных для публикации в доменных службах Active Directory и для использования с центрами сертификации предприятия.
-
Сетевой ответчик. Используется для настройки и управления ответчиков протокола OCSP.
-
Инфраструктура открытого ключа предприятия. Используется для наблюдения за несколькими центрами сертификации, списками отзыва сертификатов и местами доступа к информации о центрах сертификации, а также для управления объектами служб сертификатов Active Directory, которые опубликованы в доменных службах Active Directory.
-
Сертификаты. Используется для просмотра хранилищ сертификатов компьютера, пользователя или службы и управления ими.