Active Directory 憑證服務 (AD CS) 角色服務可在執行作業系統 (包含 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 及 Windows 2000 Server) 的伺服器上加以設定。不過,不是所有作業系統都支援所有功能或設計需求,要建立最佳化設計必須先經過小心規劃和實驗室測試,才能在生產環境中部署 AD CS。雖然您可以使用單一憑證授權單位 (CA) 的單一伺服器來部署 AD CS,但是部署可能會涉及已設定為根 CA、原則 CA 及簽發 CA 的多台伺服器,以及已設定為線上回應的其他伺服器。
下表列出可在不同版本的 Windows Server 2008 R2 上設定的 AD CS 元件。
| 元件 | Web Edition | Standard edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
CA |
否 |
是 |
是 |
是 |
|
網路裝置註冊服務 |
否 |
否 |
是 |
是 |
|
線上回應服務 |
否 |
否 |
是 |
是 |
|
CA 網頁註冊 |
否 |
是 |
是 |
是 |
憑證註冊 Web 服務 |
否 |
是 |
是 |
是 |
憑證註冊原則 Web 服務 |
否 |
是 |
是 |
是 |
執行 Windows Server 2008 R2 且已設定為 CA 的伺服器可使用下列功能。
| AD CS 功能 | Web Edition | Standard edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
自訂版本 2 和版本 3 憑證範本 |
否 |
是 |
是 |
是 |
|
金鑰保存 |
否 |
否 |
是 |
是 |
|
角色分離 |
否 |
否 |
是 |
是 |
|
憑證管理員限制 |
否 |
否 |
是 |
是 |
|
委派註冊代理程式的限制 |
否 |
否 |
是 |
是 |
|
跨樹系界限憑證註冊 |
否 |
否 |
是 |
是 |
自訂 AD CS
AD CS 包括可程式化介面,讓開發人員可以建立其他傳輸、原則及憑證內容和格式的支援。如需自訂 AD CS 的相關資訊,請參閱<憑證服務架構>(
管理 AD CS
下列 Microsoft Management Console (MMC) 嵌入式管理單元可用來管理 AD CS:
-
憑證授權單位。管理 CA、憑證撤銷及憑證註冊的主要工具。
-
憑證範本。用來複製和設定憑證範本,以便發行至 Active Directory 網域服務 (AD DS),以及與企業 CA 搭配使用。
-
線上回應。用來設定和管理線上憑證狀態通訊協定 (OCSP) 回應程式。
-
企業 PKI。用來監視多個 CA、憑證撤銷清單 (CRL) 及授權資訊存取位置,以及管理發行至 AD DS 的 AD CS 物件。
-
憑證。用來檢視和管理電腦、使用者或服務的憑證存放區。
其他參考資料
-
公開金鑰基礎結構
-
憑證授權單位的類型
- 憑證註冊 Web 服務概觀
- 憑證註冊原則 Web 服務概觀
- 設定跨樹系界限註冊的憑證註冊 Web 服務