证书网上注册

    在windows server 2008中，证书网上注册支持系统有许多改动，windows vista和windows server 2008中，以新的串行通讯端口注册控制代替了以往的activex ®注册控制。

    自Windows 2000操作系统开始，证书网上注册已开始使用。它的目的是为没有加入到域或没有直接连接到网络上的组织更新用户和计算机证书时提供一个注册机制，同时也是为非微软操作系统的用户设计的。不是依靠自动注册机制的核证机关（CA），或使用证书申请向导，网上注册系统支持基于windows的CA，允许用户通过互联网或者企业内部网邀请并获得新用户，或者更新证书。

改变功能

    在windows vista和windows server 2008中，以往的注册控制xenroll.dll已经被剔出，取而代之的是一个新的注册控制系统——certenroll.dll。虽然在网上注册过程基本上是一样的，这种变化提高的兼容性，那些安装较早版本的windows系统的用户或计算机上可以通过网络注册运行windows vista或windows 2008。

    Windows Server 2008 CA将继续使用windows xp和windows server 2003的客户的网络注册。如果用户从windows xp ， windows server 2003或基于windows 2000的电脑，在网上登陆windows Server 2008的网上注册页，windows Server 2008将检测到，并使用xenroll.dll安装到本地客户。但是，客户端的以下行为会与以前版本的windows有所不同：

    注册代理能力（也称为智能卡的注册站）被从Windows Server 2008剔出，因为windows vista本身具有注册代理能力。如果用户需要使用Windows Server 2008以另外一个客户的名义登陆，他们可以用电脑运行windows vista，作为注册站。此外，他们可以使用一个安装有网络注册系统的基于windows server 2003作为注册代理，通过Windows Server 2008 CA注册

    •安装有 Internet Explorer version 6.x及更新的版本，或者Netscape 8.1 Browser的用户，可以直接通过网上报名页面提交证书请求。使用其他浏览器仍然可以用网上报名页面提交报名请，但他们必须预先提交通过网上报名页面产生pkcs的＃ 10要求。 
    •证书网上注册不能用于3.0版证书模板，其中介绍了在Windows Server 2008，以支持发行套件的b兼容的证书。
    • Internet Explorer不能在本地计算机的安全背景下运行;因此，用户可以不再要求计算机证书使用网络报名。

网络设备注册

    网络设备预订服务（NDES）是微软的执行简单证书注册协议（SCEP） ，并用被称为微软简单证书协议（SCEP） 。SCEP是公钥基础设施（PKI）通信协议，这使得它有可能在软件上运行的网络设备，例如路由器和交换机，不能用其他方式加以认证对网络报名x509证书，由认证组织（CA） 。微软SCEP（MSCEP）是SCEP的实施。

    MSCEP作为因特网服务器应用编程接口（ISAPI ）滤波器对互联网信息服务（IIS）履行下列职能：

    •为管理员生成并提供一次性的注册密码，
    •以网络设备运行软件的身份接收和处理SCEP的注册要求
    •从CA重新获得待处理请求

    在windows server 2003 ， MSCEP是作为CA被安装在同一台计算机的windows server 2003的资源工具包插件。在Windows Server 2008中，MSCEP是操作系统的一部分，可安装在不同的电脑上。

   利用NDES和SCEP，通过网络设备如路由器和交换机来加以认证，能提高安全系数。

用组策略管理证书

    软件签名，被越来越多的软件开发商和应用开发商用来核实申请来源的可信度。然而，许多用户不理解或不注意他们安装的与注册有关的签名系统。随着对X.509更加广泛的应用，得到了更多的信任，很多组织需要有更多的选择来管理证书签名和验证。Windows Server 2008中的集团政策，使管理员能够根据组织安全需要的和管理证书的签名，在一个中心地点对所有域中的计算机进行管理。

    例如，当某些中间核证机关（CA）证明证书过期和客户不能自动取出一个新的证书，管理员现在能够通过组策略来控制。另一个相关的情况是，当管理员希望确保用户不再安装应用已签订的未经批准的出版者证书。

    这一特点适用于使用一个或多个基于windows的CA的公开密码匙基础设施（PKI）、用组策略来管理客户端计算机的组织。
在组策略用证书验证设置，允许：

    •安全建筑师，以加强基于证书的信任
    •安全管理员，以在环境中应用公匙管理功能

    使用证书信任有关的组策略设置，需要认真规划，以确定组织中用户或者计算机的数量，以及证书赋予的管理能力。如果管理员联邦使用这些设置，经过明确和有效的培训，或许能够为用户提供更大的回旋余地，使用户明白证书的重要性，认证管理能力低下的风险，以及如何管理自己的证书。