ویژگی های جدید AD CS در Windows Server 2008 R2
همانند دیگر سرویس های ویندوز سرور 2008 R2، سرویس AD CS نیز به روز شده و ویژگی های جدیدی نسبت به ویندوز های قبلی به آن اضافه می شود. سه ویژگی جدید:
- سرویس های Certificate Enrollment و Certificate Enrollment Policy Web services
- Certificate enrollment across forests
- پشتیبانی بهتر از high-volume CA
سرویس های AD CS Web جدید
ویژگی Web Services جدید برای AD CS، پشتیبانی از certificate enrollment روی پروتکل HTTP است. Web Services به عنوان یک پ-ر-وک-س*ی بین کلاینت و Certificate Authority عمل می کند. این کار ارتباط مستقیمی بین کلاینت و CA روی اینترنت ایجاد کرده و certificate enrollment به همان راحتی و امنیت موجود در forest انجام می شود. کارمندانی که درحال سفرند، شرکت های پارتنر و کارمندانی که بصورت remote کارها را انجام می دهند، می توانند از طریق اینترنت درخواست certificate بدهند و آن را برای پشتیبانی ساده تر کنند. سازمان های بزرگ و یا سازمانهایی که می بایست از چندین مزر امنیتی عبور کنند تا به forest برسند، از این فرایند آسان شده توسط Web Services لذت ببرند.
برای استفاده از Web Services جدید، شبکه شما می بایست نیازمندی های زیر را داشته باشد:
- Forest functional level می بایست ویندوز سرور 2008 R2 باشد.
- Enterprise CA می بایست ویندوز سرور 2008 R2، ویندوز سرور 2008 و یا ویندوز سرور 2003 باشد.
- کامپیوترهای کلاینت ها می بایست ویندوز 7 به بالا باشند.
- برای پشتیبانی از cross-forest enrollment می بایست، enterprise CA ها در هر forest، باید یا نسخه Enterprise ویندوز سرور باشند یا نسخه Datacenter
Enrollment across Forest
همانطور که گفته شد، این ویژگی در ورژن جدید AD CS Web Services آمده است. برای اینکه این ویژگی به درستی عمل کند، forest ها می بایست شامل رابطه trust دوطرفه (two-way trust relationship) باشند و forest functional level آنها حداقل روی Windows Server 2003 قرار گیرد. اگر سازمانتان چندین forest داشته و شما درون هر forest یک PKI ایجاد کرده اید، می توانید با این ویژگی به راحتی بین forest ها certificate درخواست کنید. دقت کنید که اکنون CA هایی میتوانند بین forest ها certificate صادر کنند که forest functional level آنها ویندوز سرور 2003 باشند، اما برای درخواست certificate می بایست forest functional level روی ویندوز سرور 2008 R2 باشد. البته کلاینت ها برای استفاده از این ویژگی نیاز به آپدیت شدن ندارند.
High-Volume CAs
برخی سازمان ها، مانند سازمان هایی که از ویژگی NAP (به این تکنولوژی در بخش مربوط به خود صحبت شده است) استفاده می کنند، ممکن است به مدیریت certificate ها در سطح بالاتری نیاز داشته باشند. هنگامی که شما از تکنولوژی مانند NAP استفاده می کنید، CA های شما تعداد بسیار زیادی certificate به اصطلاح سالم صادر می کنند. هر زمانی که کلاینت بخواهد به شبکه شما متصل شود، آنها مورد استفاده قرار می گیرند. Certificate های تایید سلامت مربوط به NAP عمر خیلی کوتاهی دارند. بنابراین CA مجبور است بطور مداوم certificate صادر کند. این certificate های سطح بالا می توانند سرعت پاسخ گویی CA را کاهش و بر عملکرد کلی آن تاثیر بگذارند.
با ویندوز سرور 2008 R2، سازمان ها می توانند با کنار گذاشتن و دور زدن (bypass) یک دیتابیس یک CA مشخص، کارایی آن را بالا ببرند. بصورت پیش فرض، CA ها، درخواست ها برای certificate و certificate های صادر شده را در دیتابیس خود ذخیره می کنند. این بدان معناست که در محیط هایی که از NAP استفاده می شود، دیتابیس CA بسیار بزرگ و حجیم خواهد شد. با کنار گذاشتن این certificate ها در دیتابیس، شما می توانید کارایی CA را افزایش و میزان فعالیت آن را کاهش دهید. به این ویژگی، non-persistent certificate processing یا فرآیند صدور certificate بطور غیر مدام گفته می شود.
