Windows 2008之PKI实战2:注册和漫游

核心提示：在以前，自动注册是Windows中WINLOGON过程中的一部分，Windows 2008之PKI实战2:注册和漫游，将它暴露给更多的攻击，实际上，我们打开证书MMC，位于我们当前证书用户树下的个人文件夹将显示该用户的当前所有证书，所有的Windows NT 服务已经被重新设计架构用作一个WMI 任务，这意味着Wind

在以前，自动注册是Windows中WINLOGON过程中的一部分，将它暴露给更多的攻击。实际上，所有的Windows NT 服务已经被重新设计架构用作一个WMI 任务。这意味着Windows Vista 和 Windows Server 2008组件不会有象Windows Server 2003 和Windows XP那么多的攻击面。

证书到期前提前通知特性也被添加进来。换句话说，它就是当一个证书快要终止或已经终止的时候通知用户。相关的场景是当自动注册没有启用，计算机不能自动更新或代表用户注册一张证书。

凭据漫游

象前面提到的，凭据漫游在Windows Server 2003 SP1中已经被引入，现在是Windows Server 2008的一个组成部分。

凭据漫游的目的是减少不同计算机的凭据复制，它通过活动目录将加密密钥复制到用户的计算机。

当用户登录计算机的时候，认证信息发送到服务器，在服务器上公钥和私钥被交换。通常，用户的凭据将在工作站之间传送通过使用漫游配置文件，这会引起负载增加。

通过凭据漫游，用户的公钥和私钥将跟着用户活动目录对象不管他们使用哪台计算机。对于活动或漫游用户，这提高了邮件保护、用户认证和部署智能卡的能力。

注册和凭据漫游的演示

在Windows Server 2008中，注册用户接口被提高了很多。同时，对于可用性、灵活性和支持性都得到增强。为了简单起见，我们将从同一台计算机即我们的CA服务器注册一张新证书。通常情况下，我们能够从域内任何一台计算机或服务器上注册。我们打开证书MMC。位于我们当前证书用户树下的个人文件夹将显示该用户的当前所有证书。如图14所示。