在替换微软AD的CA证书服务AD CS前,要先做哪些准备工作?
AD CS是什么
关于这个问题,有几个概念需要先弄明白:PKI、CA、数字证书。
PKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签名服务的系统或平台,实现基于公钥密码体制的密钥和证书的产生、管理、存储、分布和撤销等功能。CA是PKI的核心执行机构,是PKI的主要组成部分,而数字证书是由CA颁发的,所以三者是从属关系,既数字证书从属于CA从属于PKI。
PKI体系能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性。企业通过采用KPI框架管理密钥和证书,可以建立一个安全的网络环境。
微软的证书服务,AD CS(Active Directory Certificate Service - AD CS)就是PKI的实现,AD CS能够与AD域控(Active Directory Domain Services - AD DS)进行结合,用于身份验证、公钥加密和数字签名等。AD CS提供所有与PKI相关的组件作为角色服务,包括CA证书颁发机构等。每个角色服务负责证书基础架构的特定部分,同时协同以工作形成完整的解决方案。
AD CS相较于现有的AD权限维持或者提权的方式,如增加管理员用户、修改用户密码、黄金及白银票据等,有更加隐秘、更加持久的优势,已被普遍用来管理域内的证书签发和鉴权。
AD CS有哪些能力
AD CS的能力主要是:
- 客户端、服务端证书的签发和管理
- 证书吊销管理,CRL和OCSP
- 证书模版
- 证书策略(配合组策略进行证书自动签发和安装信任等)
AD CS颁发的证书,主要应用场景:
- SSL加密通信:例如为内网应用服务器签发服务器证书,使加域计算机可以通过Https安全访问应用;
- 身份验证加固:例如访问邮箱等重要系统时,在身份验证过程中使用证书进行二次验证;
- 网络安全访问:网络准入使用用户证书,实现EAP-TLS 802.1x等证书认证方式。
如何替代AD CS
需要先整理当前AD CS使用到的场景,一一确定替代方案。通常梳理下来需要解决的问题有:
- AD CA已颁发的CA证书的批量迁移
- AD CA已颁发的CA证书的续签
- 已使用的AD CS的证书模板,新的PKI系统如何支持
- 已使用的AD CS的证书策略,新的PKI系统如何支持
- 待完成以上工作后,方可考虑关闭AD CS。
宁盾国产域管除可替代AD域控外,还提供了NDCA证书服务,以替代微软AD CS。 宁盾国产域管证书服务,能力等同AD CS,可以支持AD CS的功能。
对于AD CS的替换,有两种情况:
第一种:应用因兼容性、替换迁移实施成本等原因,仍然需要使用AD证书PKI体系。宁盾支持将AD签发的CA根证书导入到NDCA中,继续使用原CA证书进行客户端和服务器证书的续签、吊销等管理。
第二种:网络准入、应用证书认证等场景,使用宁盾PKI体系,对客户端和服务端签发证书,并实现双向认证,也就是NDCA直接替换掉AD CS。
如果您企业有以上场景需求或者有技术问题,欢迎咨询交流,共同探讨。
关于宁盾:一家企业级身份基础设施提供商,解决国产化和业务上云带来传统身份基础架构替代和升级问题,产品涵盖宁盾多因素认证、宁盾网络准入、宁盾国产化身份域管;致力于为客户提供安全、可靠、高效的身份基础设施解决方案。