, af alle de spørgsmål, der står over for microsoft - sikkerhed og virksomhedens administration i dag er en af de mest vanskelige at forstå og styre er en public key infrastructure.det ser ud til, at når omfattet af certifikater kommer op i en plan for ressourceanvendelse, der er bundet til at være en vis forvirring med hensyn til, hvilken type certifikat, hvilke oplysninger der skal medtages i certifikatet, og hvordan den attest, der skal være installeret.desværre, windows server - 2008 giver ikke denne opgave nemmere, og faktisk gør det hårdt for at opnå et edb - certifikat, hårdere end nogensinde på grund af ændringer i web - han stedet.,,,,, hvis du er interesseret i certifikater og skabe anmodninger om certifikater.og hvis du er interesseret i at få finkornet kontrol over certifikatet anmodning samt være i stand til at bruge certifikat skabeloner, så vil du være meget tilfreds med de nye avancerede certifikat anmodning troldmand til rådighed med windows server - 2008 og vinduer vista certifikater mmcs.disse nye troldmænd, giver dig mulighed for at kontrollere næsten ethvert aspekt certifikatet anmodning med et enkelt punkt og klik grænseflade, den nye troldmand er en løsning på et fælles scenario, hvor du er nødt til at anmode om certifikater for ikke - domæne medlem maskiner.det er ikke et problem for område medlem maskiner, når en maskine er domain tiltrådte, det let kan anmode om en computer - certifikat, som er udstedt af en online - ca. en anden mulighed for område i maskiner at konfigurere dem til at bruge autoenrollment med henblik på at opnå en edb - certifikat.men ikke - domæne maskiner ikke har denne mulighed, i tidligere udgaver af nettet inklusion sted, du kan let få et edb - attest for ikke - domæne maskiner ved anvendelse af edb - model.med windows server - 2008 udgave af nettet ind på denne mulighed er taget til vinduer vista og windows server - 2008 - maskiner.derfor har vi brug for en alternativ metode til at anmode om en computer attest fra ca 's web inklusion sted.,, det er her, den nye certifikater, bid i avancerede operationer mulighed kommer.ved hjælp af den nye attest anmodning troldmand indgår med windows server - 2008 eller vinduer vista, du nemt kan skabe en tekstfil baseret på installeret skabeloner, som vil gøre det muligt at skabe lige nogen form for bevis, du vil have.ikke kun det, men du skal finjusteres kontrol over sammensætningen af det certifikat, så de kan udvide konfiguration, hvad en bestemt model tilbyder dig.,, nedenstående figur viser, hvor adgang til det nye certifikat anmodning troldmand.i dette eksempel skabte jeg en certifikater mmc på windows server - 2008 område registeransvarlige, som har en selvstændig ca monteret på det.i certifikaterne konsol, klik, certifikater opbevares i nogen af de node, punkt til alle opgaver og påpege, avancerede aktiviteter.så klik, skabe skik anmodning.dette vil give dem mulighed for at skabe en tekstfil, at du kan forelægge nettet ind på at opnå det certifikat,.,,,,, figur 1, certifikatet troldmand starter med det, inden du starter, side.klik, på denne side.,,,,, figur 2,,, på anmodning, skik og brug, side, har du mulighed for at udvælge den attest, model, at de ønsker at benytte, og anmodningen om format type.,,,,, figur 3,,, når du tryk ned pil for, model ned over, du vil se en liste over modeller til rådighed, der kan anvendes til automatisk at få certifikatet.bemærk, at der efter valget af den skabelon, du stadig har mulighed for at bygge kulisser.i dette eksempel, vi skal vælge den, computer, certifikat.,,,,, figur 4, om attesten oplysninger, side, kan du se, nøglebrug, anvendelse af politikker, og gyldighedsperioden for et certifikat, der vil blive skabt.men vi vil måske vælge nogle aspekter af dette certifikat.vi kan gøre dette ved at trykke på knappen, egenskaber,.,,,,, figur 5,,, det bringer op, certifikat egenskaber, dialog kasse.den generelle, tab, du har mulighederne for at skabe et venligt navn, som du kan bruge til at fastslå formålet med certifikatet, og også en valgfri beskrivelse.i dette eksempel, får vi et venskabeligt navn, computercert,.,,,,, figur 6,,, på, om regning, har du mulighed for at tildele et undernet navn til certifikatet.er omfattet af et certifikat er en bruger eller en computer (som i dette tilfælde for edb - certifikat, vi anmoder om, at der er udstedt et certifikat.det navn, der anvendes til at identificere brugeren eller computer til en computer eller ansøgninger, der anmoder om disse oplysninger.i dette eksempel, vi går ind for en fælles betegnelse, nyc-cl1.woodgrovebank.com i værdi, tekstboks, der sidder indtil, om navn, afsnit.så klik, tilføje, og det står i højre side.vi vil også indgå i samme navn for det alternative navn og komme dns navn, som er cl1. woodgrovebank. kom.,, bestemmelse i et miljø, som de sandsynligvis vil bruge produktion af et andet navn for om alternative navn.visse servere, f.eks. udveksling af 2007 og kommunikation - 2007 gør brug af om alternative navne, der er indeholdt i installeret certifikater.,,,,, fig. 7,,, du har mange muligheder for, udvidelser, tab.den første mulighed, nøglebrug.bemærker, at modellen har allerede udvalgt, digital signatur, og nøglen encipherment, muligheder for dig.men hvis du vil vælge mere nøglebrug indstillinger, du har den mulighed her.,,,,, fig. 8, i den udvidede nøglebrug (ansøgning politikker), afsnit, kan man se, at modellen har udvalgt, server, autentificering og klient autentificering, muligheder for dig.igen, hvis du vil muliggøre yderligere udvidet nøglebrug muligheder, de kan vælge fra, muligheder,.,,,,, figur 9,,,, grundlæggende begrænsninger, giver mulighed for at udvide de grundlæggende begrænsninger.det er ikke konfigureret, fordi den model, ikke har denne mulighed for.,,,,, figur 10, i, omfatter symmetrisk algoritme, afsnit, du kan gøre det muligt for denne udvidelse, som giver oplysninger om systemets kapacitet af certifikater, der er udstedt af denne model.igen, den model, ikke for denne mulighed, men du kan, hvis du ønsker det.,,,,, figur 11, i den skik udvidelse definition, afsnit, du kan komme ind i din egen skik objekt - id 'er og værdier.det er nyttigt, hvis du har en ansøgning eller port, der forventer at modtage visse oider og filtre certifikat autentificering adgang med det specifikke gamle.den computer model bruger ikke nogen skik certifikat oider, så ingen er kommet hertil.,,,,, figur 12, på den private nøgle, tab, kan du få forskellige aspekter af den private nøgle.i, kryptografiske serviceprogrammer (csp), afsnit, kan du vælge csp 'en af dine valg, hvis modellen, du vælger, støtter, at csp.i dette eksempel ved hjælp af edb - certifikater skabelon, kun microsoft rsa schannel kryptografiske udbyder (kryptering), mulighed er til rådighed.hvis du sætter en checkmark i, viser alle landestrategidokumenter, afkrydsningsfelt.kan du se, at det i dette tilfælde, resten af csp 'er, som ikke er gyldige for dette certifikat skabelon.,,,,, fig. 13, i de centrale muligheder, afsnit, kan du vælge den centrale størrelse.desuden, du kan sætte eller deaktivere, private nøgle eksporteres, tillade private nøgle til arkiveres, og stærke private nøgle beskyttelse, muligheder.den private nøgle, eksporteres, ikke er muligt med den model, men jeg gjorde det muligt i dette eksempel, fordi jeg ønsker, at den private nøgle skal kunne eksporteres.,,,,, figur 14,,,, centrale type, afsnit defineres de tilladte anvendelser af en privat nøgle i forbindelse med certifikat.edb - model automatisk udvalgt, udveksling, valg, hvilket er, hvad du vil, når den påtænkte anvendelse af certifikatet er kunde og server autentificering.,,,,, fig. 15,,, i det centrale tilladelser, sektion kan fastsætte, hvem der har adgang til den private nøgle.jeg vil gerne fortælle dig, hvad formålet med denne mulighed, men der er ingen dokumentation for denne mulighed, og jeg kan ikke komme i en situation, hvor ville jeg ønske, at denne mulighed.,,,,, fig. 16,,, efter at deres udvælgelse, kan du se, nøglebrug, anvendelse politikker og gyldighed, periode.jeg er nødt til at antage, at den gyldighedsperiode, afgøres ved den model, eftersom der ikke er nogen løsning, der gør det muligt at bekræfte den gyldighedsperiode,.,,,,, fig. 17,,, det næste skridt er at give certifikatet anmodning tekstfil et navn.i dette eksempel, jeg vil nævne det, c) nyc-cl1-cert,.jeg vil også redde det som en base - 64, kodet tekst fil, som windows server - 2008 certifikat - serveren vil acceptere.,,,,, figur 18,,, efter at redde fil, åben den op i blok.vælg hele teksten i sagen ved at anvende, udvælge, mulighed for, at redigere menu.så klik, modtaget fra, redigere, menu til kopi af disse oplysninger til skrivepladen.vi vil pasta disse oplysninger i nettet inklusion på form at opnå det certifikat,.,,,,, fig. 19. i dette eksempel, vi bruger en enkeltstående ca. hvorfor?for hvis vi brugte en virksomhed ca, ville vi være tvunget til at bruge et certifikat skabelon.vi ønsker ikke at bruge et certifikat, model på ca, fordi vi allerede har skabt en anmodning ved hjælp af et certifikat skabelon, som vi ønskede at anvende.hvis du bruger en virksomhed ca og om deres anmodning ved hjælp af en af de disponible certifikat skabeloner, indstillinger på ca 's attest model vil træde i stedet for de indstillinger, der forefindes i certifikatet anmodning troldmand, hvilket er noget, som vi ikke ønsker, at tilslutte den enkeltstående ca' s web site han indhttp: ////////////////servername certsrv,.det tager dig til, velkommen, side.på velkommen, side, tryk, anmoder herom, en attest, link.,,,,, fig. 20,,, på anmodning en attest, side, tryk, avancerede certifikat anmodning, link.,,,,, fig. 21,,, på avancerede certifikat anmodning, side, klik det, fremlægge en attest om ved hjælp af en base-64-encoded cmc eller pkcs dossier, eller indgive en anmodning om fornyelse af et base-64-encoded pkcs dossier, link.,,,,, fig. 22,,, om det, forelægge en attest, anmodning eller anmodning om fornyelse, side, pasta, indholdet af attesten anmodning fil i reddede anmodning, tekstboks.bemærker, at de ikke er tvunget til at bruge et certifikat skabelon.i modsætning hertil, hvis det havde været en virksomhed ca, ville du have været tvunget til at bruge et certifikat, model, og du ville have mistet de indstillinger, som du havde oprindeligt konfigureret ved anvendelse af attesten anmodning troldmand.klik, forelægger,.,,,,, fig. 23,,, om attesten indtil, side, vil de se, at anmodningen er tillagt en anmodning. bemærker, at certifikatet ikke umiddelbart er udstedt.det er standardindstillingen til enkeltstående cas.med enkeltstående - certifikatet anmodning skal godkendes, før der er udstedt et certifikat.i modsætning hertil med et foretagende, ca, certifikatet straks udstedes.,,,,,, fig. 24, lad os vende tilbage til hjemmeside for nettet ind på stedet.klik, betragtning status af indtil certifikatet anmodning, link.,,,,, figur 25, om opfattelse status af indtil certifikatet anmodning, side, kan du se en forbindelse til reddede certifikat anmodning.klik på linket.,,,,, figur 26,,, det tager dig til, certifikat, indtil, side, kan du se, at deres certifikat anmodning er endnu ikke afsluttet.at ordne det, vi er nødt til at gå til attesten myndighed, trøste og udstede attesten.,,,,, figur 27, i den certificerende myndighed, kan udvide navn af ca - og klik på den, indtil anmodninger, knudepunkt i venstre side af panelet.i den rigtige side af panelet, du vil se en liste over anmodninger om certifikater for deres anmodning id, s. vores certifikat anmodning havde en anmodning id på 3, så vi ikke klik på det punkt, for alle opgaver, og klik, udstedelse,.,,,,, figur 28,,, at certifikatet er udstedt, kan du hente det ved hjælp af internettet ind på stedet.tilbage til nettet inklusion på hjemmeside og klik, betragtning status af indtil certifikatet anmodning, link.,,,,, fig. 29,,, om de mener, status for en verserende certifikat anmodning, side, tryk, redde anmodning, link.,,,,, 30,,, på den attest, der er udstedt, side, du har valgt at downloade det certifikat, som en, der indkodes eller base - 64 indkodet, fil.i almindelighed, det betyder ikke noget, hvor filen type, du vælger.når du klik, downloade certifikat, link, du får kun edb - bevis med den private nøgle.hvis du vælger det, downloade certifikat kæde, kæde, får du den computer certifikat med sine private nøgle, og du får ca. certifikater fra alle cas i certifikatet kæde.i denne forbindelse er nyttigt, hvis du er indførelsen af edb - certifikat på ikke - område, siden du har brug for ca. certifikat installeret i maskinen, pålideligt root certificeringsmyndigheder, maskine certifikat opbevares, således at maskinen vil stole på edb - certifikat. i dette eksempel vil vi bare downloade den attest, så vi kan træffe en se på det,.,,,,, figur 31,,, klik, save i, fil at downloade dialog kasse.,,,,, figur 32,,, jeg vil redde certifikatet til mit skrivebord.,,,,, figur 33, double click på certifikatet.den generelle, tab, kan man se, at certifikatet er udstedt til det almindelige navn vi konfigureret certifikatet til brug.,,,,, figur 34, tryk, oplysninger, tab.her kan du se alle de muligheder, der blev skabt i certifikatet anmodning troldmand.,,,,, figur 35,,,,,,,, i denne artikel, vi tog et kig på de nye avancerede certifikat anmodning troldmand, som er opført med windows server - 2008 og vinduer vista.denne nye troldmand, giver os mulighed for at skabe en attest om tekst fil at vi kan forelægge en ca, som kan udstede et certifikat.certifikaterne mmc certifikat anmodning troldmand gør dig i stand til at bruge indbygget certifikat skabeloner, når du løber troldmanden fra et certifikat myndighed computer.desuden kan du få finkornet kontrol over mange af de indstillinger i deres certifikat ved hjælp af customizable muligheder.det nye certifikat anmodning troldmand er meget nyttig i vista og windows server - 2008 miljø, hvor der ikke er mulighed for at gøre et online - anmodning om en computer certifikat længere.