可以在运行 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 和 Windows 2000 Server 操作系统的服务器上安装 Active Directory 证书服务 (AD CS) 角色服务。但是,并非所有操作系统都支持所有功能或设计要求,创建一个最佳设计需要在生产环境中部署 AD CS 之前仔细进行计划和实验室测试。尽管可以对单个证书颁发机构 (CA) 的单台服务器部署 AD CS,但是部署可能包括配置为根 CA、策略 CA 和颁发 CA 的多台服务器,以及配置为联机响应程序的其他服务器。

下表列出了可以在不同版本的 Windows Server 2008 R2 上配置的 AD CS 组件。

组件 Web Edition Standard Edition Enterprise Edition Datacenter Edition

CA

网络设备注册服务

联机响应程序服务

CA Web 注册

证书注册 Web 服务

证书注册策略 Web 服务


在运行 Windows Server 2008 R2 并且配置为 CA 的服务器上可以使用以下功能。

AD CS 功能 Web Edition Standard Edition Enterprise Edition Datacenter Edition

可自定义版本 2 和版本 3 证书模板

密钥存档

角色分隔

证书管理员限制

委派注册代理限制

跨林边界证书注册

自定义 AD CS

AD CS 包括可编程的界面,以便开发人员可以创建对其他传输、策略以及证书属性和格式的支持。有关自定义 AD CS 的详细信息,请参阅“证书服务体系结构”(https://go.microsoft.com/fwlink/?LinkId=91405)(可能为英文网页)。

管理 AD CS

以下 Microsoft 管理控制台 (MMC) 管理单元可以用来管理 AD CS:

  • 证书颁发机构。管理 CA、证书吊销和证书注册的主要工具。

  • 证书模板。用于复制和配置证书模板,以便发布到 Active Directory 域服务 (AD DS) 并且可以用于企业 CA。

  • 联机响应程序。用于配置和管理联机证书状态协议 (OCSP) 响应程序。

  • 企业 PKI。用于监视多个 CA、证书吊销列表 (CRL) 和授权信息访问位置,还可以用于管理已发布到 AD CS 的 AD DS 对象。

  • 证书。用于查看和管理计算机、用户或服务的证书存储。


目录