客户端如何使用证书注册Web服务和证书注册策略Web服务？

Question

根据technet的一篇文章：

证书注册Web服务是一个Active证书服务(AD CS)角色服务，它允许用户和计算机使用HTTPS协议执行证书注册。与证书注册策略Web服务一起，当客户端计算机不是域的成员或域成员未连接到域时，这将启用基于策略的证书注册。

他们还解释了如何安装这些服务的所有步骤，但没有解释如何使用这些服务。就像是的，我希望非域客户端注册证书，那么客户端是如何做到的呢？对于CA Web注册服务，它明确指出只需在浏览器中输入以下内容：

https://servername/certsrv

(链接：https://technet.microsoft.com/en-us/library/hh831649(v=ws.11).aspx

但是对于CE和CEP服务，它什么也没说。也许我真的不明白它们是什么？

Answer 1

CEP是非域客户端用于从域收集所有证书模板信息的服务，因为LDAP不是选项，DCOM很难维护。CES是证书的检索。这可以通过指示非域成员在其用户证书存储区上创建注册策略来完成，如果适用的话，还可以使用计算机证书存储区。它可以使用多个身份验证方案，如Windows集成(kerberos)、X.509证书或用户名和密码。如果您试图将计算机证书部署到非域客户端，请注意X.509证书选项，因为当它们检索第一个证书时，它们可能不会从您的内部PKI中获得计算机存储的客户端身份验证证书。通过使用CES和CEP，您可以将ldap和dcom排除在场景之外，只需使用HTTPS即可。这使得它的安全和使用更加容易。如果没有CEP，就不能使用CES，因为模板和用户信息需要从AD中检索。

Answer 2

相反地。如果客户端上预先定义了模板，客户端可以直接使用CES (没有CEP)。许多实现都有直接使用CES的客户端。