Samostatné certifikační autority mohou vystavovat certifikáty platné jako digitální podpis nebo vhodné pro zabezpečení e-mailu pomocí formátu S/MIME (Secure Multipurpose Internet Mail Extensions) a pro ověřování zabezpečeného webového serveru pomocí protokolu SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security).
Samostatná certifikační autorita se vyznačuje následujícími charakteristikami:
-
Na rozdíl od podnikové certifikační autority nepoužívá samostatná certifikační autorita službu AD DS (Active Directory Domain Services). I v případě, že používáte službu AD DS, je možné samostatné certifikační autority použít jako offline důvěryhodné kořenové certifikační autority nebo je lze použít k vydání certifikátů klientům prostřednictvím Internetu nebo sítě extranet.
-
Pokud uživatelé odešlou žádost o certifikát samostatné certifikační autoritě, je nutné, aby zadali své identifikační údaje a požadovaný typ certifikátu. (Tyto informace nemusí být uvedeny v případě žádosti o certifikát podané podnikové certifikační autoritě, protože informace o uživateli v podniku jsou poskytovány službou AD DS a typ certifikátu je popsán v šabloně certifikátu). Informace potřebné k ověření žádostí se získávají z databáze Správce zabezpečení účtů v místním počítači.
-
Veškeré žádosti o certifikát odeslané samostatné certifikační autoritě jsou standardně nastaveny na Čekající na vyřízení, dokud správce samostatné certifikační autority neověří odeslané informace a žádost neschválí. Správce musí tento postup provést, protože samostatná certifikační autorita neověřuje pověření žadatele o certifikát.
-
Šablony certifikátů se nepoužívají.
-
Správce musí explicitně distribuovat certifikát vystavený samostatnou certifikační autoritou do úložiště důvěryhodných kořenových certifikátů uživatele domény, nebo musí tento úkol provést samotný uživatel.
-
Pokud se používá zprostředkovatel kryptografických služeb podporující kódování ECC (Elliptic Curve Cryptography), bude samostatná certifikační autorita respektovat každé použití klíče pro klíč ECC. Další informace najdete v článku Kryptografie CNG (stránka může být v angličtině) (
https://go.microsoft.com/fwlink/?LinkID=85480 ).
Používá-li samostatná certifikační autorita službu AD DS, vyznačuje se pak následujícími charakteristikami:
-
Pokud samostatnou kořenovou certifikační autoritu nainstaluje člen skupiny Domain Admins nebo správce s právem zápisu do řadiče domény, je certifikační autorita automaticky přidána do úložiště certifikátů důvěryhodných kořenových certifikačních autorit všech uživatelů a počítačů domény. Z toho důvodu byste po instalaci samostatné kořenové certifikační autority v doméně se službou Active Directory neměli změnit výchozí nastavení akce certifikační autority při přijetí žádosti o certifikát (tj. nastavení žádosti na Čekající na vyřízení). Jinak bude důvěryhodná kořenová certifikační autorita automaticky vystavovat certifikáty, aniž by ověřila identitu žadatele o certifikát.
-
Pokud samostatnou certifikační autoritu nainstaluje člen skupiny Domain Administrators pro nadřazenou doménu rozlehlé sítě nebo správce s právem zápisu do služby AD DS, zveřejní samostatná certifikační autorita svůj certifikát certifikační autority a seznam odvolaných certifikátů (CRL) ve službě AD DS.