Windows Server 2012新特性:证书申请加密-阿里云开发者社区

开发者社区> 安全> 正文

Windows Server 2012新特性:证书申请加密

简介:

Windows Server 2012 的 AD CS 中提供了数项新功能。包括:

  • 与服务器管理器集成
  • 来自 Windows PowerShell? 的部署和管理功能
  • 所有 AD CS 角色服务都可在任何 Windows Server 2012 版本上运行。
  • 所有 AD CS 角色服务都可以在服务器核心上运行。
  • 支持非加入域计算机的证书自动续订
  • 强制要求使用相同密钥证书续订
  • 支持国际化域名
  • 默认在 CA 角色服务上启用增强的安全性

其中“在 CA 角色服务上启用增强的安全性”的属性要求证书申请加密。

CA 会在发送给自己的申请中强制实施增强的安全性。这一较高的安全级别要求申请证书的数据包加密,从而防止它们被截获和读取。如果不启用这一设置,访问网络的任何人都能使用网络分析器读取进出 CA 的数据包。这就意味着可能导致违反隐私的信息暴露,例如申请用户或计算机的名称、他们注册的证书类型、涉及的公钥等。在林或域中,泄露这些数据对于大部分组织可能不算问题。但是如果攻击者获取了对网络流量的访问权,内部公司结构和活动就可能被收集并用于更具针对性的社会工程或钓鱼攻击。

1、用颁发机构上启用增强安全级别

在 Windows Server(R) 2003、Windows Server(R) 2003 R2、Windows Server(R) 2008 或 Windows Server 2008 R2 证书颁发

机构运行命令:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST 
重新启动证书颁发机构 
net stop certsvc 
net start certsvc

2、Windows XP 客户端计算机向已启用该设置的 CA 申请证书时,必须在Windows Server 2012的CA降低其安全级别,否则无法申

请成功。

快照1

在CA上运行 ertutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

重新启动证书颁发机构  net stop certsvc &&  net start certsvc










本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/1049310,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章