注冊(cè)界面的另一個(gè)關(guān)鍵改進(jìn)是對(duì)過期證書的處理。新界面為最終用戶明確提供了有關(guān)哪些證書何時(shí)過期的信息，并使用戶可以輕松續(xù)訂證書，或忽略來自同一界面的警告。盡管管理員能夠通過自動(dòng)注冊(cè)來自動(dòng)刷新證書，但此警告功能對(duì)于移動(dòng)用戶或斷開連接的用戶而言仍然非常重要，因?yàn)檫@些用戶可能很少登錄公司網(wǎng)絡(luò)，而且持有的證書可能已接近過期日期。

　　對(duì)于使用證書注冊(cè)的開發(fā)人員而言，新的 API 對(duì)基于 ActiveX® 的舊控件(xenroll.dll 和 scrdernl.dll)提供了重大改進(jìn)。新的證書注冊(cè) API 提供了定義良好的類層次結(jié)構(gòu)，理解起來更加輕松，編碼也更加簡(jiǎn)單。這一新的 API 取代了 Windows Vista 和 Windows Server 2008 中的 xenroll。

　　對(duì) API 所做的這一更改對(duì)開發(fā)人員和 IT 專業(yè)人員都有影響，因?yàn)?Windows Vista 客戶端無法使用 Windows Server 2003 中提供的基于 Web 的注冊(cè)功能。這是由于這些注冊(cè)網(wǎng)頁(默認(rèn)存儲(chǔ)于 /certsrv 虛擬目錄下)所使用的 xenroll 控件在 Windows Vista 中已不復(fù)存在。知識(shí)庫文章“如何將證書服務(wù) Web 注冊(cè)頁與 Windows Vista 結(jié)合使用”(support.microsoft.com/kb/922706) 提供了一種相應(yīng)解決方案的相關(guān)信息。從 Windows Server 2003 自動(dòng)注冊(cè)到 Windows Vista 未受影響。

　　在以前版本的 Windows Server 中，對(duì)注冊(cè)代理能代表哪些群體進(jìn)行注冊(cè)并沒有什么限制。換句話說，一旦授予了用戶注冊(cè)代理能力，他就能夠代表林中的其他任何用戶進(jìn)行注冊(cè)。當(dāng)然，這就意味著用戶通過代表某位現(xiàn)有用戶進(jìn)行注冊(cè)，進(jìn)而使用新創(chuàng)建的證書假冒該用戶，即可輕松升級(jí)自已的權(quán)限。為防止此類威脅，僅對(duì)具有高可信度的用戶提供注冊(cè)代理能力。這種方法雖然提高了安全性，但也使部署模型的靈活性降低，因?yàn)橹挥猩倭坑脩艟哂写砥渌脩暨M(jìn)行注冊(cè)的能力。因此，地理位置分散的大型組織為最終用戶(例如智能卡)部署證書的復(fù)雜度將會(huì)增加。

　　在 Windows Server 2008 中，可以將注冊(cè)代理限制在更低的級(jí)別。可以針對(duì)能夠代表哪些用戶進(jìn)行注冊(cè)加以限制，也可以針對(duì)能夠依照哪些模板進(jìn)行注冊(cè)加以限制，如圖 3 所示。例如，現(xiàn)在，某組織可以賦予某個(gè)本地 IT 專業(yè)人員代表本分支機(jī)構(gòu)內(nèi)所有用戶(而不是人力資源組中的用戶)進(jìn)行注冊(cè)的能力。針對(duì)注冊(cè)代理的這一精確方法使企業(yè)能在其組織內(nèi)部更有效、更安全地委派注冊(cè)能力。

　　

　　圖 3 注冊(cè)代理限制

　　管理 PKI 的最大挑戰(zhàn)之一是管理分散在組織內(nèi)各設(shè)備中的所有密鑰對(duì)。即使在一個(gè)不很復(fù)雜的 PKI 環(huán)境中，任何特定用戶也可能具有若干個(gè)不同的密鑰對(duì)(如 EFS、無線網(wǎng)絡(luò)身份驗(yàn)證和 S/MIME)，并要求無論該用戶從何處登錄都可以使用這些密鑰對(duì)。隨著移動(dòng)計(jì)算和終端服務(wù)的日益盛行，在網(wǎng)絡(luò)內(nèi)復(fù)制這些密鑰對(duì)以便用戶在任何位置登錄都可以使用它們，將變得空前重要。雖然用戶持有的令牌(如智能卡)有助于解決部分問題，但組織內(nèi)可能仍然有用戶沒有卡或用戶持有的證書并未存儲(chǔ)在卡內(nèi)。憑據(jù)漫游通過安全存儲(chǔ) Active Directory® 內(nèi)部的密鑰對(duì)和證書使得用戶無論從何處登錄都能夠使用它們，從而解決了上述問題。

　　憑據(jù)漫游首先在 Windows Server 2003 SP1 中推出，允許證書和密鑰在無需使用漫游用戶配置文件的情況下在計(jì)算機(jī)之間安全漫游。在 Windows Vista 和 Windows Server 2008 中，此功能是默認(rèn)包含的，并在證書服務(wù)客戶端 (CSC) 服務(wù)中實(shí)現(xiàn)。配置選項(xiàng)(如哪些證書可以漫游和如何解決沖突)是通過組策略進(jìn)行管理的。在 Windows Vista 和 Windows Server 2008 中，CSC 服務(wù)還可以實(shí)現(xiàn)存儲(chǔ)的用戶名和密碼的漫游。雖然此功能默認(rèn)包含在 Windows Vista 中，但應(yīng)注意，Windows XP 中完全支持憑據(jù)漫游，登錄到 Windows Server 2003 域控制器(帶有更新部署;請(qǐng)參見 support.microsoft.com/kb/907247)時(shí)也完全支持憑據(jù)漫游。這就意味著您無需等待 Windows Vista 部署完成即可使用此技術(shù)。