您可以使用Microsoft Active Directory证书服务在Active Directory环境中自动注册机器证书。
但是,在这个问题上,为客户准备的证书是如何生成的呢?
以下两个选项中的哪一个是正确的:
第一是最安全的,因为私钥只存在于客户端。
二号是最安全的,因为私人密钥也存在于AD CS – 即使它可能是暂时的。
第一个选项是正确的。
在Microsoft ADCS中,CA服务器仅签署客户端准备的请求。 客户端使用客户端API创build私钥和CSR(例如CertEnroll库),然后调用ICertRequest :: SubmitRequest方法向CA提交请求。 签名时,客户端通过调用ICertRequest :: GetCertificate方法来检索颁发的证书。
CA无权访问客户机专用密钥。 但是,密钥存档有可能实施。 客户端将密钥安全地传输到CA服务器,CA使用密钥恢复代理证书对CA数据库中的密钥进行encryption。