Ein Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) ist das Programm zum Ausführen der Authentifizierung, Codierung und Verschlüsselungsdienste, auf die Windows-basierte Anwendungen über die Microsoft-Kryptografie-API (Cryptography Application Programming Interface, CryptoAPI) zugreifen. Jeder CSP stellt eine andere Implementierung der CryptoAPI bereit. Einige stellen stärkere Kryptografiealgorithmen bereit, während andere Hardwarekomponenten verwenden, wie z. B. Smartcards.
Wenn Sie eine Anforderung für ein neues Zertifikat generieren, werden die in dieser Anforderung enthaltenen Informationen zuerst vom anfordernden Programm an CryptoAPI gesendet. CryptoAPI stellt die entsprechenden Daten einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) bereit, der auf dem Computer oder auf einem Gerät installiert ist, auf das der Computer zugreifen kann. Wenn der CSP auf Software basiert, generiert er auf dem Computer einen öffentlichen Schlüssel und einen privaten Schlüssel, die als Schlüsselpaar bezeichnet werden. Ist der CSP hardwarebasiert, wie etwa ein Smartcard-CSP, weist er einen Teil der Hardware an, dieses Schlüsselpaar zu generieren.
Nach der Generierung dieser Schlüssel verschlüsselt ein softwarebasierter CSP den privaten Schlüssel und sichert diesen anschließend. Ein Smartcard-CSP speichert den privaten Schlüssel auf einer Smartcard. Der Zugriff auf den Schlüssel wird dann von der Smartcard gesteuert.
Der öffentliche Schlüssel wird zusammen mit den Informationen zum Zertifikatanforderer an die Zertifizierungsstelle (Certification Authority, CA) gesendet. Sobald die Zertifizierungsstelle die Zertifikatanforderung nach ihren Richtlinien überprüft hat, verwendet sie den eigenen privaten Schlüssel, um eine digitale Signatur im Zertifikat zu erstellen und diese dann für den Antragsteller auszustellen. Der das Zertifikat anfordernden Seite wird dann das Zertifikat von der Zertifizierungsstelle mit der Option zur Verfügung gestellt, es im entsprechenden Zertifikatspeicher des Computers oder Hardwaregeräts zu installieren.
Weitere Informationen finden Sie unter Anfordern eines Zertifikats und Richtlinien für alternative Signaturformate.