Генерация сертификатов при автоматической регистрации для клиентов - AD CS
Вы можете автоматически регистрировать сертификаты машины в среде Active Directory с помощью службы сертификации Microsoft Active Directory.
Но как происходит генерация сертификатов, предназначен для клиентов, сделано в этом вопросе?
Какой из следующих двух вариантов верен:
- Клиент создает CSR для подписи AD CS (CA).
- AD CS генерирует все и отправляет его клиенту.
] Номер один является наиболее безопасным, поскольку закрытый ключ существует только на клиенте.
Номер два является наименее безопасным, поскольку закрытый ключ также существует в AD CS, даже если он может быть мгновенным.
Первый вариант правильный.
В Microsoft ADCS сервер CA только подписывает запросы подготовлено клиентами. Клиенты используют клиентский API для создания закрытого ключа и CSR (например, библиотеки CertEnroll ), а затем вызывают метод ICertRequest :: SubmitRequest для отправки запроса в CA. После подписания клиент получает выпущенный сертификат, вызывая метод ICertRequest :: GetCertificate .
ЦС не имеет доступа к закрытым ключам клиента. Однако есть вероятность, когда реализована функция архивации ключей. Клиент безопасно передает свой ключ серверу CA, и CA использует сертификаты агента восстановления ключей для шифрования ключа в базе данных CA.