Apa itu Layanan Sertifikat Direktori Aktif?

Active Directory Certificate Services (AD CS) adalah peran Windows Server untuk menerbitkan dan mengelola sertifikat infrastruktur kunci publik (PKI) yang digunakan dalam protokol komunikasi dan autentikasi yang aman.

Menerbitkan dan mengelola sertifikat

Sertifikat digital dapat digunakan untuk mengenkripsi dan menandatangani dokumen dan pesan elektronik secara digital serta untuk autentikasi akun komputer, pengguna, atau perangkat di jaringan. Misalnya, sertifikat digital digunakan untuk menyediakan:

• Kerahasiaan melalui enkripsi.
• Integritas melalui tanda tangan digital.
• Autentikasi dengan mengaitkan kunci sertifikat dengan akun komputer, pengguna, atau perangkat pada jaringan komputer.

Fitur utama

AD CS menyediakan fitur penting berikut:

• Otoritas sertifikasi: Otoritas Sertifikat (CA) akar dan subordinat digunakan untuk menerbitkan sertifikat kepada pengguna, komputer, dan layanan, dan untuk mengelola validitas sertifikat.

• Pendaftaran web: Pendaftaran web memungkinkan pengguna untuk terhubung ke CA dengan browser Web untuk meminta sertifikat dan mengambil daftar pencabutan sertifikat (CRL).

• Penanggap Online: Layanan Penanggap Online mendekode permintaan status pencabutan untuk sertifikat tertentu, mengevaluasi status sertifikat ini, dan mengirim kembali respons yang ditandatangani yang berisi informasi status sertifikat yang diminta.

• Layanan Pendaftaran Perangkat Jaringan: Layanan Pendaftaran Perangkat Jaringan memungkinkan router dan perangkat jaringan lain yang tidak memiliki akun domain untuk mendapatkan sertifikat.

• Pengesahan kunci TPM: Memungkinkan otoritas sertifikasi memverifikasi kunci privat dilindungi oleh TPM berbasis perangkat keras dan bahwa TPM adalah salah satu yang dipercaya CA. Pengesahan kunci TPM mencegah sertifikat diekspor ke perangkat yang tidak sah dan dapat mengikat identitas pengguna ke perangkat.

• Layanan Web Kebijakan Pendaftaran Sertifikat: Layanan Web Kebijakan Pendaftaran Sertifikat memungkinkan pengguna dan komputer untuk mendapatkan informasi kebijakan pendaftaran sertifikat.

• Layanan Web Pendaftaran Sertifikat: Layanan Web Pendaftaran Sertifikat memungkinkan pengguna dan komputer untuk melakukan pendaftaran sertifikat melalui layanan web. Bersama dengan Layanan Web Kebijakan Pendaftaran Sertifikat, ini memungkinkan pendaftaran sertifikat berbasis kebijakan saat komputer klien bukan anggota domain atau ketika anggota domain tidak tersambung ke domain.

Keuntungan

Anda dapat menggunakan AD CS untuk meningkatkan keamanan dengan mengikat identitas seseorang, komputer, atau layanan ke kunci privat yang sesuai. AD CS memberi Anda cara yang hemat biaya, efisien, dan aman untuk mengelola distribusi dan penggunaan sertifikat. Selain pengikatan identitas dan kunci privat, AD CS juga menyertakan fitur yang memungkinkan Anda mengelola pendaftaran dan pencabutan sertifikat.

Anda dapat menggunakan informasi identitas titik akhir yang ada di Direktori Aktif untuk mendaftarkan sertifikat, yang berarti Anda dapat memasukkan informasi secara otomatis ke dalam sertifikat. AD CS juga dapat digunakan untuk mengonfigurasi kebijakan grup Direktori Aktif untuk menunjuk pengguna dan mesin mana yang diizinkan jenis sertifikat mana. Konfigurasi kebijakan grup memungkinkan kontrol akses berbasis peran atau berbasis atribut.

Aplikasi yang didukung oleh AD CS termasuk Secure/Multipurpose Internet Mail Extensions (S/MIME), jaringan nirkabel aman, jaringan privat virtual (VPN), keamanan Protokol Internet (IPsec), Encrypting File System (EFS), masuk kartu pintar, Secure Socket Layer/Transport Layer Security (SSL/TLS), dan tanda tangan digital.

Langkah berikutnya

• Apa itu Layanan Peran Otoritas Sertifikasi?
• Menerapkan dan mengelola Layanan Sertifikat Direktori Aktif
• Semua layanan peran AD CS berjalan pada versi apa pun
• Semua layanan peran AD CS dapat dijalankan di Server Core
• Referensi Windows PowerShell untuk Layanan Sertifikat