【IT168 专稿】 （接上篇）在以前，自动注册是Windows中WINLOGON过程中的一部分，将它暴露给更多的攻击。实际上，所有的Windows NT 服务已经被重新设计架构用作一个WMI 任务。这意味着Windows Vista 和 Windows Server 2008组件不会有象Windows Server 2003 和Windows XP那么多的攻击面。

　　证书到期前提前通知特性也被添加进来。换句话说，它就是当一个证书快要终止或已经终止的时候通知用户。相关的场景是当自动注册没有启用，计算机不能自动更新或代表用户注册一张证书。

　　凭据漫游

　　象前面提到的，凭据漫游在Windows Server 2003 SP1中已经被引入，现在是Windows Server 2008的一个组成部分。

　　凭据漫游的目的是减少不同计算机的凭据复制，它通过活动目录将加密密钥复制到用户的计算机。

　　当用户登录计算机的时候，认证信息发送到服务器，在服务器上公钥和私钥被交换。通常，用户的凭据将在工作站之间传送通过使用漫游配置文件，这会引起负载增加。

　　通过凭据漫游，用户的公钥和私钥将跟着用户活动目录对象不管他们使用哪台计算机。对于活动或漫游用户，这提高了邮件保护、用户认证和部署智能卡的能力。

　　注册和凭据漫游的演示

　　在Windows Server 2008中，注册用户接口被提高了很多。同时，对于可用性、灵活性和支持性都得到增强。为了简单起见，我们将从同一台计算机即我们的CA服务器注册一张新证书。通常情况下，我们能够从域内任何一台计算机或服务器上注册。我们打开证书MMC。位于我们当前证书用户树下的个人文件夹将显示该用户的当前所有证书。如图14所示。

　　在该演示中，我们将请求一张新用户证书。我们能够通过Action菜单来完成它。注册用户接口给我们提供了很多新选项，与以前的版本相比。我们将只配置该服务器接受一些不同类型的认证，但是我们能够看到这些可用选项，即使它们没有被使用。如图15所示。

　　我们能够直接指派证书到一台计算机。因为凭据漫游，这不在是一个缺省选项。如图16所示。

　　User Option Details 能够被展开和查看在该证书被创建之前。Certificate Properties窗口将给我们进一步个性化该证书在它被提交之前。

　　我们能够为该证书指定一个测试名称如果以后我们需要识别它。如图17所示。Subject 栏给我们指派特定属性给用户证书的机会。与证书关联的私钥的持有者被称为主题。它可以是一个用户、一个程序或虚拟的任何对象或服务。因为根据哪个人或它是什么主题会不同，当提供主题名称在证书请求的时候需要一些灵活性。Windows 要么自动生成主题名称要么手动从主题中请求。如果它自动提供主题名称，Windows 从活动目录中获取这些信息。名称可能是从电子邮件名称到指定的组织单元的任何对象。如图18所示。

　　Extensions栏有证书使用类型的特殊扩展。这些选项中的每个都能够编辑。Key Usage 允许我们对该配置做一些小的修改。如图19所示。

　　Basic Constraints细节也能够被修改。如图20所示。

　　Private Key 栏显示了我们配置证书授权机构的选项。这些条目中的选项也能够被自定义，基于您想要的功能。如图21所示。

　　证书授权机构栏简单地确认先从哪个CA查找它要求的密钥。如图22所示。

　　最后，我们能够注册证书，如图23所示。它将被保存在本地计算机上。这些证书能够通过证书MMC来查看。

　　对于部署PKI基础结构来说，证书服务在管理性和易用性方面都得到了增强。

        下篇介绍《Windows  2008之PKI实战3:证书服务》，点击阅读。