在替换微软AD的CA证书服务AD CS前,要先做哪些准备工作?

最新推荐文章于 2024-04-30 20:09:14 发布
最新推荐文章于 2024-04-30 20:09:14 发布
阅读量407 收藏 7
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/137879324
版权

AD CS是什么


关于这个问题,有几个概念需要先弄明白:PKI、CA、数字证书。


PKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签名服务的系统或平台,实现基于公钥密码体制的密钥和证书的产生、管理、存储、分布和撤销等功能。CA是PKI的核心执行机构,是PKI的主要组成部分,而数字证书是由CA颁发的,所以三者是从属关系,既数字证书从属于CA从属于PKI。


PKI体系能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性。企业通过采用KPI框架管理密钥和证书,可以建立一个安全的网络环境。


微软的证书服务,AD CS(Active Directory Certificate Service - AD CS)就是PKI的实现,AD CS能够与AD域控(Active Directory Domain Services - AD DS)进行结合,用于身份验证、公钥加密和数字签名等。AD CS提供所有与PKI相关的组件作为角色服务,包括CA证书颁发机构等。每个角色服务负责证书基础架构的特定部分,同时协同以工作形成完整的解决方案。


AD CS相较于现有的AD权限维持或者提权的方式,如增加管理员用户、修改用户密码、黄金及白银票据等,有更加隐秘、更加持久的优势,已被普遍用来管理域内的证书签发和鉴权。


AD CS有哪些能力


AD CS的能力主要是:

  • 客户端、服务端证书的签发和管理
  • 证书吊销管理,CRL和OCSP
  • 证书模版
  • 证书策略(配合组策略进行证书自动签发和安装信任等)

 

AD CS颁发的证书,主要应用场景:

  • SSL加密通信:例如为内网应用服务器签发服务器证书,使加域计算机可以通过Https安全访问应用;
  • 身份验证加固:例如访问邮箱等重要系统时,在身份验证过程中使用证书进行二次验证;
  • 网络安全访问:网络准入使用用户证书,实现EAP-TLS 802.1x等证书认证方式。


如何替代AD CS


需要先整理当前AD CS使用到的场景,一一确定替代方案。通常梳理下来需要解决的问题有:

  1. AD CA已颁发的CA证书的批量迁移
  2. AD CA已颁发的CA证书的续签
  3. 已使用的AD CS的证书模板,新的PKI系统如何支持
  4. 已使用的AD CS的证书策略,新的PKI系统如何支持
  5. 待完成以上工作后,方可考虑关闭AD CS。

 

宁盾国产域管除可替代AD域控外,还提供了NDCA证书服务,以替代微软AD CS。 宁盾国产域管证书服务,能力等同AD CS,可以支持AD CS的功能。


对于AD CS的替换,有两种情况:

第一种:应用因兼容性、替换迁移实施成本等原因,仍然需要使用AD证书PKI体系。宁盾支持将AD签发的CA根证书导入到NDCA中,继续使用原CA证书进行客户端和服务器证书的续签、吊销等管理。

第二种:网络准入、应用证书认证等场景,使用宁盾PKI体系,对客户端和服务端签发证书,并实现双向认证,也就是NDCA直接替换掉AD CS。

 

如果您企业有以上场景需求或者有技术问题,欢迎咨询交流,共同探讨。


关于宁盾:一家企业级身份基础设施提供商,解决国产化和业务上云带来传统身份基础架构替代和升级问题,产品涵盖宁盾多因素认证、宁盾网络准入、宁盾国产化身份域管;致力于为客户提供安全、可靠、高效的身份基础设施解决方案。


nington01
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微软AD认证考试题库
02-09
微软AD域认证考试的相关部分英文试题,方便练习自测和验证相关AD域知识内容。每道题都有知识讲解,方便好用。
Active Directory 05 - 初识 AD CS 证书服务
0pr
02-26 1094
这篇文章简单讲述了一下域证书服务的基本概念。接下来,我会继续深入,在 Lab 中配置 AD CS 服务,通过实践的方式,带出更多的域证书相关的内容。这包括自域证书白皮书发布以来,已经被发现的证书利用的漏洞(CVE-2022–26923),以及证书利用的其他手法(Shadow Credentials)。
Windows Server 2016 Active Directory 证书服务(AD CS)部署配置完全图解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-12 2987
概要 环境:windows server 2016 域控:已安装 需求:需安装ad证书服务器,用利用web证书工具管理使用 AD CS功能介绍: 1) 证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2) CA WEB注册:用户可以通过web浏览器申请证书。 3) 联机响应程序服务:联机响应程序服务通过对特定证书的吊销状态申请进行解码,评估这些证书的状态,并发送回包含所申请证书状态信息的签名响应来实现联机证书状态协议 (OCSP)。 4) 网络设备注册服务:网络设备注册
AD CS证书服务
weixin_47347190的博客
07-10 2211
AD CS证书服务(SSL证书):可以部署企业根或独立根 建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。 本实验是主要企业根 实验环境:windows server 2012 r2 在额外域控制器 安装AD CS服务,在添加和角色功能,勾选AD 证书服务,如下图 直到下图这一步,勾选证书颁发机构web注册 接着下一步,就好了。直到安装完成 点击感叹号...
windows server-AD证书服务搭建
little_startoo的博客
09-17 514
windows server-AD证书服务搭建
adconfig.zip_AD9268_AD9268 VERILOG_AD9268配置_ad9268工作原理_ad9268怎么
07-13
AD9268的配置Verilog实现,程序用于实现4通道的AD9268的配置
DAC.rar_CS8416 CO_DAC解码_HIFI解码_ad1955程序_dac解码程序
09-24
HIFI DAC解码源程序,CS8416 DIR接收,AD1955 DAC转换芯片,正式生产的产品程序,绝对能正常工作
AD9361_CS_Installer_v213+AD9361中文文档.rar
09-24
该工具为AD936X Evaluation Sofware,可用于配置AD9361寄存器,实现修改 发射频率、功率等。非常好用的小工具。(实测可用) 还包含AD9361的中文文档
sh79f166a驱动CS1237 24位AD程序.zip_CS1237汇编程序_SH79F166A_cs1237_cs123
07-14
cs1237驱动程序,24位ad采集精度,希望能多帮助大家
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
最新发布
南七小僧的学海无涯
04-30 691
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
Linux服务安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 614
Linux服务安全基础 - 查看入侵痕迹
企业计算机服务器中了rmallox勒索病毒怎么办?Rmallox勒索病毒解密流程工具
M99W1230的博客
04-26 503
在网络飞速发展的时代,企业离不开网络,网络为企业的生产运营提供了极大便利,加快了企业进步的步伐,依靠网络可以开展各项工作业务,通过网络数据整合,可以更方便企业办公。Rmallox勒索病毒属于mallox勒索家族,属于早期的勒索病毒,随着网络技术的不断发展,mallox勒索病毒过多次升级调整,而rmallox勒索病毒是近期新升级的勒索病毒,具有较强的攻击与加密能力,一旦被攻击很难自行破解恢复,经过云天数据恢复中心对rmallox勒索病毒的解密处理,为大家整理了以下有关该勒索病毒的相关信息。
网络安全实训Day16
Yisitelz的博客
04-26 686
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
百度安全多篇议题入选Blackhat Asia以硬技术发现“芯”问题
Baidu_Secrity的博客
04-24 792
因此,跨缓存攻击的效率直接决定了安卓上众多基于堆栈的漏洞利用成功率。结合这些漏洞,议题依次分析了四种威胁模型中的典型漏洞案例,并介绍了Netlink相关漏洞的验证和利用方法,最后为厂商使用Netlink提供了最沿的安全建议。百度安全是百度公司旗下以AI为核心打造的安全品牌,基于百度各业务线全技术栈的安全实践总结,在基础安全、数据安全、业务安全、车与IoT安全打造四大产品矩阵,面向行业和合作伙伴输出安全产品与行业一体化解决方案,在智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域已有丰富实践。
保序加密技术:保护数据有序性的安全方案
jiamisoft的博客
04-30 358
保序加密技术是一种特殊的加密方式,它允许对加密数据进行特定的有序操作,同时保持数据的加密状态。与传统的加密技术不同,OPE允许用户在不解密的情况下,对加密的数据进行范围搜索和比较,因为加密后的数据保持了原始数据的顺序特性。
第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
IceCream的博客
04-24 722
参考:https://www.kancloud.cn/manual/thinkphp5_1
基础安全:CSRF攻击原理与防范
八尺妖剑的博客
04-23 1569
这是一种常见的网络攻击手段,攻击者通过构造恶意请求,诱骗已登录的合法用户在不知情的情况下执行非本意的操作。这种攻击方式利用了Web应用程序中用户身份验证的漏洞,即浏览器在用户完成登录后会自动携带相关的认证信息(如Cookie、Authorization header等)发送给服务器,使得服务器误以为请求来自已授权的用户。这是一个阳光明媚的好日子,万里无云,心情愉悦,用户哼着小曲儿兴高采烈的通过下面的请求地址登录了自己的账户并给小老婆转账520000,成功登录后在浏览器上留下了。基于上面的概念描述,
如何安全可控的进行跨区域数据交换,提高数据价值?
文件数据安全交换
04-30 495
飞驰云联是中国领的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
radius服务ad证书更新
05-18
要更新Radius服务AD证书,需要按照以下步骤操作: 1. 在AD域控制器上创建新证书并导出为PKCS#12格式的文件。 2. 在Radius服务器上安装OpenSSL工具,如果未安装的话。 3. 将PKCS#12格式的证书文件复制到Radius服务器上。 4. 使用OpenSSL工具将PKCS#12格式的证书文件转换为PEM格式的文件。命令如下: openssl pkcs12 -in cert.pfx -out cert.pem -nodes 其中,cert.pfx是PKCS#12格式的证书文件,cert.pem是转换后的PEM格式的证书文件。 5. 将PEM格式的证书文件复制到Radius服务器的证书存储目录。 6. 修改Radius服务器配置文件,指定新的证书文件。具体方法因Radius服务器不同而异,需要查看Radius服务器的文档。 7. 重新启动Radius服务器,使配置生效。 完成以上步骤后,Radius服务器应该已经使用新的AD证书进行认证了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值