AD CS：Web 注册

已对 Windows Server® 2008 中的证书 Web 注册支持做了很多更改。这些更改是由将 Windows Vista® 和 Windows Server 2008 中以前的 ActiveX(R) 注册控件替换为新注册控件而导致的。以下部分描述这些更改及其意义。

证书 Web 注册有什么作用？
从 Windows 2000 操作系统中包括证书 Web 注册起，它就开始存在了。它设计用于为下列组织提供注册机制：需要为没有加入域或者没有直接连接到网络的用户和计算机，以及非 Microsoft 操作系统的用户颁发和续订证书。基于 Windows 的 CA 提供的 Web 注册支持允许这些用户通过 Internet 或 Intranet 连接来请求和获取新的和续订的证书，而不是依赖于证书颁发机构 (CA) 的自动注册机制或者使用证书请求向导。

谁会对该功能感兴趣？
此功能应用于下列组织：具有公钥基础结构 (PKI)，且一个或多个 CA 运行 Windows Server 2008、客户端运行 Windows Vista 并且希望允许用户通过使用网页获取新证书或者续订现有证书。

添加 Web 注册页的支持可以大大提高组织的 PKI 的灵活性和可伸缩性；因此，PKI 架构师、计划者和管理员都会对此功能感兴趣。

哪些现有功能将发生更改？
在 Windows Vista 和 Windows Server 2008 中，以前的注册控件 XEnroll.dll 已替换为新注册控件 CertEnroll.dll。尽管所进行的 Web 注册过程与在 Windows 2000、Windows XP 和 Windows Server 2003 中基本相同，但注册控件中的这一更改在用户或运行 Windows Vista 或 Windows Server 2008 的计算机尝试通过使用在早期版本的 Windows 中安装的 Web 注册页请求证书时可能会影响兼容性。

为什么从 XEnroll 更改到 CertEnroll 很重要？
XEnroll.dll 即将被淘汰，原因如下：

XEnroll.dll 是几年前编写的旧版控件，被认为不如最近编写的控件安全。


XEnroll.dll 具有一个暴露各种功能集的单片接口。它具有 100 多个方法和属性。这些方法和属性是在多年中陆续添加的，调用一种功能可以更改另一种功能的行为，因此使测试和维护都非常困难。


相反，所创建的 CertEnroll.dll 比 XEnroll.dll 更安全、更易于编写脚本，也更便于更新。

Note  
XEnroll.dll 可以继续在运行 Windows 2000、Windows XP 和 Windows Server 2003 的计算机上用于 Web 注册。  

工作方式有何不同？
基于 Windows Server 2008 的 CA 将继续支持来自 Windows XP 和 Windows Server 2003 客户端计算机上用户的证书 Web 注册请求。如果您从运行 Windows XP、Windows Server 2003 或 Windows 2000 的计算机通过 Windows Server 2008 Web 注册页注册证书，则 Web 注册页将检测这种情况并使用在客户端计算机上本地安装的 Xenroll.dll。但是，以下客户端行为将与那些早期版本 Windows 中的客户端行为不同：

从 Windows Server 2008 中的 Web 注册删除了注册代理功能（又称为智能卡注册站），因为 Windows Vista 自带注册代理功能。如果需要代表具有 Windows Server 2008 Web 注册的另一个客户端执行注册，则应将运行 Windows Vista 的计算机用作注册站。也可以使用安装了 Web 注册的基于 Windows Server 2003 的服务器，并将该服务器用作通过基于 Windows Server 2008 的 CA 注册证书的注册代理。


仅 Internet Explorer version 6.x 或 Netscape 8.1 浏览器的用户可以通过 Web 注册页直接提交证书请求。其他 Web 浏览器的用户虽然可以通过使用 Web 注册页提交注册请求，但是在提交前，他们必须先通过 Web 注册页创建 PKCS #10 请求。


不能将证书 Web 注册与版本 3 的证书模板（将在 Windows Server 2008 中引入，以支持颁发 Suite B 兼容的证书）一起使用。


Internet Explorer 不能在本地计算机的安全上下文中运行；因此，用户不能再通过使用 Web 注册请求计算机证书。


部署证书 Web 注册应做哪些准备工作？
若要配置支持证书 Web 注册的服务器，需要将证书颁发机构 Web 注册角色服务添加到该服务器角色。如果将 Web 注册支持安装在 CA 所在的计算机，则不需要其他配置步骤。如果将 Web 注册角色服务与 CA 安装在不同的计算机上，则需要将 CA 标识为 Web 注册安装的一部分。安装 Web 注册角色服务后，可以通过 Internet 信息服务 (IIS) 使用名为 CertSrv 的新网站。

非 Microsoft Web 注册页将受到重大影响，因为 XEnroll.dll 在 Windows Server 2008 或 Windows Vista 中不可用。这些 CA 的管理员在继续将 Xenroll.dll 用于早期版本的 Windows 的同时，必须创建备用解决方案，以支持为使用 Windows Server 2008 和 Windows Vista 的客户端计算机颁发和续订证书。

管理员还需要计划其运行 IIS 的服务器的正确配置。IIS 只能以 64 位模式或 32 位模式运行。如果在运行 64 位版本的 Windows Server 2008 的服务器上安装 IIS，则一定不要在该计算机上安装任何 32 位 Web 应用程序，如 Windows 服务器更新服务 (WSUS)。否则，Web 注册角色服务安装将失败。