当前位置：首页 > news >正文

在替换微软AD的CA证书服务AD CS前，要先做哪些准备工作？

news 2025/7/4 7:46:57

AD CS是什么

关于这个问题，有几个概念需要先弄明白：PKI、CA、数字证书。

PKI（Public Key Infrastructure，公钥基础设施）是提供公钥加密和数字签名服务的系统或平台，实现基于公钥密码体制的密钥和证书的产生、管理、存储、分布和撤销等功能。CA是PKI的核心执行机构，是PKI的主要组成部分，而数字证书是由CA颁发的，所以三者是从属关系，既数字证书从属于CA从属于PKI。

PKI体系能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性。企业通过采用KPI框架管理密钥和证书，可以建立一个安全的网络环境。

微软的证书服务，AD CS（Active Directory Certificate Service - AD CS）就是PKI的实现，AD CS能够与AD域控（Active Directory Domain Services - AD DS）进行结合，用于身份验证、公钥加密和数字签名等。AD CS提供所有与PKI相关的组件作为角色服务，包括CA证书颁发机构等。每个角色服务负责证书基础架构的特定部分，同时协同以工作形成完整的解决方案。

AD CS相较于现有的AD权限维持或者提权的方式，如增加管理员用户、修改用户密码、黄金及白银票据等，有更加隐秘、更加持久的优势，已被普遍用来管理域内的证书签发和鉴权。

AD CS有哪些能力

AD CS的能力主要是：

客户端、服务端证书的签发和管理
证书吊销管理，CRL和OCSP
证书模版
证书策略（配合组策略进行证书自动签发和安装信任等）

AD CS颁发的证书，主要应用场景：

SSL加密通信：例如为内网应用服务器签发服务器证书，使加域计算机可以通过Https安全访问应用；
身份验证加固：例如访问邮箱等重要系统时，在身份验证过程中使用证书进行二次验证；
网络安全访问：网络准入使用用户证书，实现EAP-TLS 802.1x等证书认证方式。

如何替代AD CS

需要先整理当前AD CS使用到的场景，一一确定替代方案。通常梳理下来需要解决的问题有：

AD CA已颁发的CA证书的批量迁移
AD CA已颁发的CA证书的续签
已使用的AD CS的证书模板，新的PKI系统如何支持
已使用的AD CS的证书策略，新的PKI系统如何支持
待完成以上工作后，方可考虑关闭AD CS。

宁盾国产域管除可替代AD域控外，还提供了NDCA证书服务，以替代微软AD CS。宁盾国产域管证书服务，能力等同AD CS，可以支持AD CS的功能。

对于AD CS的替换，有两种情况：

第一种：应用因兼容性、替换迁移实施成本等原因，仍然需要使用AD证书PKI体系。宁盾支持将AD签发的CA根证书导入到NDCA中，继续使用原CA证书进行客户端和服务器证书的续签、吊销等管理。

第二种：网络准入、应用证书认证等场景，使用宁盾PKI体系，对客户端和服务端签发证书，并实现双向认证，也就是NDCA直接替换掉AD CS。

如果您企业有以上场景需求或者有技术问题，欢迎咨询交流，共同探讨。

关于宁盾：一家企业级身份基础设施提供商，解决国产化和业务上云带来传统身份基础架构替代和升级问题，产品涵盖宁盾多因素认证、宁盾网络准入、宁盾国产化身份域管；致力于为客户提供安全、可靠、高效的身份基础设施解决方案。

在替换微软AD的CA证书服务AD CS前，要先做哪些准备工作？

AD CS是什么

AD CS有哪些能力

如何替代AD CS

相关文章：

在替换微软AD的CA证书服务AD CS前，要先做哪些准备工作？

Java中的System

Mybites一对多collection

基于springboot实现图书进销存管理系统项目【项目源码+论文说明】计算机毕业设计

敏捷开发：想要快速交付就必须舍弃产品质量？

SNMP-详解指南

vue-router 原理【详解】hash模式 vs H5 history 模式

WebGl/Three 粒子系统人物破碎及还原运动

华为OD-C卷-分披萨[100分]

uniapp 中video标签视频禁止快，拖拽快进

网页端HTML使用MQTTJs订阅RabbitＭＱ数据

课题学习(二十一)----姿态更新的四元数算法推导

NL2SQL进阶系列(5)：论文解读业界前沿方案（DIN-SQL、C3-SQL、DAIL-SQL、SQL-PaLM）、新一代数据集BIRD-SQL解读

双指针运用：删除重复元素、移除元素

什么是三高架构

Unity 对APK签名

合成孔径雷达干涉测量InSAR数据处理、地形三维重建、形变信息提取、监测等应用

QT进阶------------------QPushButton(快速添加按钮与使用)

Vue项目管理器创建项目

PHP-extract变量覆盖

龙虎榜——20250610

变量 varablie 声明- Rust 变量 let mut 声明与 C/C++ 变量声明对比分析

通过Wrangler CLI在worker中创建数据库和表

第25节 Node.js 断言测试

【Zephyr 系列 10】实战项目：打造一个蓝牙传感器终端 + 网关系统（完整架构与全栈实现）

selenium学习实战【Python爬虫】

R语言速释制剂QBD解决方案之三

【JVM面试篇】高频八股汇总——类加载和类加载器

论文阅读笔记——Muffin: Testing Deep Learning Libraries via Neural Architecture Fuzzing

【UE5 C++】通过文件对话框获取选择文件的路径