Unternehmens-PKI (Konzepte)

Mithilfe des Snap-Ins Unternehmens-PKI kann sichergestellt werden, dass alle folgenden Elemente in einer Public Key-Infrastruktur (Public Key Infrastructure, PKI) ordnungsgemäß ausgeführt werden und verfügbar sowie gültig sind:

  • Zertifizierungsstellen (Certification Authorities, CAs) Eine Zertifizierungsstelle akzeptiert eine Zertifikatanforderung, überprüft die Informationen des Anforderers in Bezug auf die Richtlinie der Zertifizierungsstelle und verwendet dann ihren privaten Schlüssel zum Signieren des Zertifikats. Anschließend stellt die Zertifizierungsstelle das Zertifikat seinem Antragsteller aus, damit es als Sicherheitsanmeldeinformation in einer PKI verwendet werden kann. Eine Zertifizierungsstelle ist auch für das Sperren von Zertifikaten und Veröffentlichen einer Zertifikatsperrliste (Certificate Revocation List, CRL) verantwortlich.

  • Zertifizierungsstellenzertifikate Ein Zertifizierungsstellenzertifikat ist ein Zertifikat, das von einer Zertifizierungsstelle für sich selbst oder eine zweite Zertifizierungsstelle ausgestellt wird, um eine definierte Beziehung zwischen den beiden Zertifizierungsstellen herzustellen. Ein Zertifikat, das von einer Zertifizierungsstelle für sich selbst ausgestellt wurde, wird als vertrauenswürdiges Stammzertifikat bezeichnet. Zertifizierungsstellenzertifikate sind wichtig zum Definieren des Zertifikatpfads und der Nutzungseinschränkungen für alle Endeinheitszertifikate, die für die Verwendung in der PKI ausgestellt werden.

  • Speicherorte für den Zugriff auf Stelleninformationen Speicherorte für den Zugriff auf Stelleninformationen sind URLs, die einem Zertifikat in seiner Erweiterung des Stelleninformationszugriffs hinzugefügt werden. Mithilfe dieser URLs kann das ausgestellte Zertifizierungsstellenzertifikat von einer Anwendung oder einem Dienst abgerufen werden. Mit diesen Zertifizierungsstellenzertifikaten wird anschließend die Zertifikatsignatur überprüft und ein Pfad zu einem vertrauenswürdigen Zertifikat erstellt.

  • Zertifikatsperrlisten Zertifikatsperrlisten sind vollständige digital signierte Listen nicht abgelaufener gesperrter Zertifikate. Diese Zertifikatsperrliste wird von Clients abgerufen, die diese anschließend zwischenspeichern (anhand der konfigurierten Gültigkeitsdauer der Zertifikatsperrliste) und zum Überprüfen der ihnen angebotenen Zertifkate verwenden.

  • Zertifikatsperrlisten-Verteilungspunkte Zertifikatsperrlisten-Verteilungspunkte sind Speicherorte (in der Regel URLs), die einem Zertifikat in seiner Zertifikatsperrlisten-Verteilungspunkterweiterung hinzugefügt werden. Mithilfe von Zertifikatsperrlisten-Verteilungspunkten können Anwendungen oder Dienste eine Zertifikatsperrliste abrufen. Zertifikatsperrlisten-Verteilungspunkte werden kontaktiert, wenn von einer Anwendung oder einem Dienst überprüft werden muss, ob ein Zertifikat vor dem Ablauf seiner Gültigkeitsdauer gesperrt wurde.

Mithilfe des Snap-Ins Zertifizierungsstelle kann ein Administrator diese PKI-Elemente für eine einzelne Zertifizierungsstelle überwachen und verwalten. Wenn mehrere Zertifizierungsstellen vorhanden sind, müssen jedoch zum Überwachen und Verwalten einer PKI separate Instanzen dieses Snap-Ins verwendet werden. Außerdem können mit dem Snap-In Zertifizierungsstellen keine nicht von Microsoft stammenden Zertifizierungsstellen in die Infrastruktur integriert werden, und es können keine Speicherorte für den Zugriff auf Stelleninformationen und keine Zertifikatsperrlisten-Verteilungspunktspeicher verwaltet werden. Mit dem Snap-In Unternehmens-PKI können diese Probleme daher mit einem einzigen Snap-In gelöst werden.

Weitere Informationen dazu, wie Zertifizierungsstellen, Zertifizierungsstellenzertifikate, Speicherorte für den Zugriff auf Stelleninformationen, Sperrlisten-Verteilungspunkte und Zertifikatsperrlisten gemeinsam verwendet werden, um eine Hierarchie vertrauenswürdiger öffentlicher Schlüssel zu erstellen, finden Sie (möglicherweise in englischer Sprache) im Artikel zur Funktionsweise der Zertifikatdienste (http://go.microsoft.com/fwlink/?LinkID=88045.

Weitere Verweise