Службы ролей служб сертификации Active Directory можно устанавливать на серверах, работающих под управлением операционных систем Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows 2000 Server. Однако не все операционные системы поддерживают функциональные возможности или требования разработки, поэтому для создания оптимальной разработки требуется тщательное планирование и лабораторное тестирование до развертывания доменных служб Active Directory в производственной среде. Хотя доменные службы Active Directory можно развернуть на одном сервере с одним центром сертификации, развертывание может происходить и на нескольких серверах, настроенных как корневые центры сертификации, центры сертификации политик и центры сертификации, выдающие сертификаты, а также на серверах, настроенных как сетевые ответчики.
В приведенной ниже таблице перечислены компоненты служб сертификации Active Directory, которые можно настроить в различных выпусках Windows Server 2008 R2.
| Компоненты | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
ЦС |
Нет |
Да |
Да |
Да |
|
Служба регистрации сетевых устройств |
Нет |
Нет |
Да |
Да |
|
Служба сетевого ответчика |
Нет |
Нет |
Да |
Да |
|
Регистрация в ЦС через Интернет |
Нет |
Да |
Да |
Да |
|
Веб-служба регистрации сертификатов |
Нет |
Да |
Да |
Да |
|
Веб-служба политик регистрации сертификатов |
Нет |
Да |
Да |
Да |
Указанные ниже функциональные возможности доступны на серверах, работающих под управлением Windows Server 2008 R2 и настроенных как центры сертификации.
| Возможности служб сертификации Active Directory | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
Настраиваемые шаблоны сертификатов версии 2 и 3 |
Нет |
Да |
Да |
Да |
|
Архивация ключа |
Нет |
Нет |
Да |
Да |
|
Разделение ролей |
Нет |
Нет |
Да |
Да |
|
Ограничения диспетчера сертификатов |
Нет |
Нет |
Да |
Да |
|
Делегированные ограничения агента регистрации |
Нет |
Нет |
Да |
Да |
|
Регистрация сертификатов через границы лесов |
Нет |
Нет |
Да |
Да |
Настраиваемые службы сертификатов Active Directory
Службы сертификатов Active Directory содержат программируемые интерфейсы, с помощью которых разработчики могут обеспечивать поддержку дополнительных свойств и форматов транспортов, политик и сертификатов. Дополнительные сведения о настройке служб сертификатов Active Directory см. на веб-сайте, посвященном архитектуре служб сертификатов (http://go.microsoft.com/fwlink/?LinkId=91405) (может быть на английском языке).
Управление службами сертификатов Active Directory
Для управления службами сертификатов Active Directory можно использовать следующие оснастки консоли управления (MMC):
- Центр сертификации. Основное средство
управления центром сертификации, а также отзывом сертификатов и
запросов на сертификаты.
- Шаблоны сертификатов. Используется для
дублирования и настройки шаблонов сертификатов, предназначенных для
публикации в доменных службах Active Directory и для использования
с центрами сертификации предприятия.
- Сетевой ответчик. Используется для
настройки и управления ответчиков протокола OCSP.
- Инфраструктура открытого ключа
предприятия. Используется для наблюдения за несколькими
центрами сертификации, списками отзыва сертификатов и местами
доступа к информации о центрах сертификации, а также для управления
объектами служб сертификатов Active Directory, которые опубликованы
в доменных службах Active Directory.
- Сертификаты. Используется для
просмотра хранилищ сертификатов компьютера, пользователя или службы
и управления ими.