公鑰基礎(chǔ)設(shè)施促進(jìn)安全行業(yè)各個(gè)部門致力于維護(hù)和改善與PKI技術(shù)相關(guān)的方方面面。從根證書頒發(fā)機(jī)構(gòu)到X.509認(rèn)證，都證明了在保護(hù)服務(wù)器基礎(chǔ)設(shè)施及數(shù)據(jù)方面的成功。

考慮到現(xiàn)代Windows服務(wù)器環(huán)境中的角色和服務(wù)，微軟服務(wù)器基礎(chǔ)設(shè)施更是如此。這些服務(wù)和角色專為Windows Server PKI部署存在——其中最重要的是活動(dòng)目錄證書服務(wù)(AD CS)角色。

Windows服務(wù)器基礎(chǔ)設(shè)施中的安全機(jī)構(gòu)的改善，Windows管理員應(yīng)該加速了解各自環(huán)境中的改進(jìn)和漏洞。讓我們深入研究Windows Server 2012為公鑰基礎(chǔ)設(shè)施帶來的較之以前Windows服務(wù)器版本的更好的改進(jìn)。

Windows Server PKI增加PowerShell功能

毫無疑問，其中吸引Windows服務(wù)器管理員的一個(gè)改善是Windows PowerShell在AD CS方面的新增功能。在Windows Server 2012之前，PowerShell在在證書權(quán)威配置中只扮演了一個(gè)角色。Windows Server 2012發(fā)布后，PowerShell內(nèi)置了豐富的AD CS部署方法。這在Windows管理員想要通過編寫AD CS角色或服務(wù)部署腳本而節(jié)省時(shí)間時(shí)，尤其有用。

例如，如果管理員想通過腳本實(shí)現(xiàn)在域中網(wǎng)絡(luò)設(shè)備登記服務(wù)安裝，而該域使用的是遠(yuǎn)程根證書。Windows Server 2012中的Install-AdcsNetworkDeviceEnrollmentService cmdlet可以做到這一點(diǎn)。此外，在管理分散在不同地理位置的企業(yè)網(wǎng)絡(luò)時(shí)，腳本的這種能力可以為管理員節(jié)省大量的時(shí)間。

Windows Server 2012中的AD CS角色服務(wù)

任何有經(jīng)驗(yàn)的Windows管理員都會(huì)告訴你，同一操作系統(tǒng)的不同版本并不是完全相同的。例如，Windows Server 2008 Web版就與標(biāo)準(zhǔn)版不同，與企業(yè)版也不同。就Windows ServerPKI而言，高級(jí)版本與普通的差異就非常大。

幸運(yùn)的是，Windows Server 2012 AD CS的所有這一切發(fā)生了改變。例如，在Windows Server 2008標(biāo)準(zhǔn)版中，數(shù)字證書認(rèn)證機(jī)構(gòu)(現(xiàn)在稱為角色服務(wù))是可用的，但前面提到的網(wǎng)絡(luò)設(shè)備登記服務(wù)勢(shì)不可用的。在Windows Server 2012中，6個(gè)AD CS角色服務(wù)在所有Windows Server 2012版本中都可用。這在微軟的移動(dòng)領(lǐng)域路人皆知，許多業(yè)內(nèi)人士都很高興看到微軟對(duì)這個(gè)問題的處理。

微軟似乎正在加大Windows服務(wù)器域集成PKI的力度。每個(gè)新推出的Windows服務(wù)器版本似乎比前一版本都有大大的改進(jìn)。而上面提到的 PKI 改進(jìn)不應(yīng)理解為是附加功能。它們表明了Windows Server 2012創(chuàng)造者在推動(dòng)PKI和保護(hù)企業(yè)安全方面的奉獻(xiàn)精神。