企业证书颁发机构 (CA) 可以将证书、证书吊销列表 (CRL) 和其他数据发布到 Active Directory 容器。可以使用“企业 PKI”管理单元浏览并管理这些容器中的对象。
下面是可使用“企业 PKI”管理单元管理的 Active Directory 容器:
-
NTAuthCertificates。包含当前林中的所有 CA 证书。Enterprise Admins 组的成员安装新的 CA 时会自动添加证书。此外,还可以使用“管理 AD 容器”对话框手动添加证书。
-
AIA。包含可由客户端使用颁发机构信息访问 (AIA) 证书扩展(用于建立有效的证书链并检索由 CA 颁发的任何交叉证书)检索的 CA 证书。
-
CDP。包含林中发布的所有基 CRL 和增量 CRL。
-
KRA。包含与林的密钥恢复代理对应的证书。必须将密钥恢复代理配置为支持密钥存档和恢复。通过在企业 CA 注册,可以将密钥恢复代理证书自动添加到此容器中。不能使用“管理 AD 容器”对话框手动添加密钥恢复代理证书。
-
证书颁发机构。包含与林中受信任的根 CA 对应的证书。Enterprise Admins 的成员设置加入域中的企业根 CA 或独立根 CA 时,会自动添加根 CA 证书。此外,还可以从命令提示符中手动添加根 CA 证书,但不能通过“管理 AD 容器”对话框来添加。
-
注册服务。包含与可向林中的用户、计算机或服务颁发证书的企业 CA 对应的证书。企业 CA 证书只能由安装企业 CA 的 Enterprise Admins 的成员添加到此容器中,而不能使用“管理 AD 容器”对话框手动进行添加。