Una entidad de certificación (CA) acepta una solicitud de certificado, comprueba la información del solicitante según la directiva de la CA y usa su clave privada para aplicar la firma digital al certificado. A continuación, la CA emite el certificado para el sujeto del certificado para que se use como credencial de seguridad en una infraestructura de clave pública (PKI). Una CA es responsable también de revocar certificados y publicar una lista de revocación de certificados (CRL).
La CA puede ser una entidad externa (por ejemplo, VeriSign) o una CA creada para su uso por la organización mediante la instalación de los Servicios de certificados de Active Directory (AD CS). Cada CA puede tener distintos requisitos de prueba de identidad para los solicitantes de certificados como, por ejemplo, una cuenta de dominio, un identificador de empleado, un permiso de conducir, una solicitud autenticada o una dirección física. Estas comprobaciones de identificación suelen garantizar una CA en el sitio de modo que las organizaciones puedan validar a sus propios empleados o miembros.
Las CA de empresa de Microsoft usan las credenciales de una cuenta de usuario como prueba de identidad. Es decir, si inicia sesión en un dominio y solicita un certificado de una CA de empresa, la CA puede autenticar la identidad según la cuenta de los Servicios de dominio de Active Directory (AD DS).
Cada CA tiene un certificado para confirmar su identidad, el cual emite otra CA de confianza o, en el caso de las CA raíz, las propias CA. Es importante recordar que todos los usuarios pueden crear una CA. Por consiguiente, el usuario o el administrador deben decidir si confiar en la CA y, por extensión, en las directivas y los procedimientos de los que la CA dispone para confirmar la identidad de las entidades para las que dicha CA emite certificados.
CA raíz y subordinadas
Una CA raíz tiene el nivel de confianza máximo en la PKI de la organización. Si se pone en peligro la CA raíz o emite un certificado para una entidad no autorizada, se compromete la seguridad basada en el certificado de la organización. Por consiguiente, tanto la seguridad física como la directiva de emisión de certificados de la CA raíz suelen ser más rigurosas que las de las CA subordinadas. Mientras que las CA raíz se pueden usar para emitir certificados para que los usuarios finales puedan realizar tareas como, por ejemplo, el envío de correo electrónico seguro, en la mayoría de las organizaciones sólo se usan para emitir certificados para otras CA, llamadas CA subordinadas.
Una CA subordinada es una CA para la que otra CA de la organización emite un certificado. Normalmente, la CA subordinada emite certificados para usos específicos como la protección del correo electrónico, la autenticación basada en web o la autenticación de tarjeta inteligente. Las CA subordinadas también puede emitir certificados para otras CA con un nivel superior de subordinación. Además, la CA raíz, las CA subordinadas certificadas por la raíz y las CA subordinadas certificadas por otras CA subordinadas forman una jerarquía de certificación.
Para obtener más información acerca de las jerarquías de certificación, vea Infraestructuras de clave pública.
CA de empresa e independientes
Esta versión de AD CS es compatible con la instalación de CA independientes y de empresa. Para obtener información acerca de las características de funcionamiento de las CA empresariales e independientes, vea Entidades de certificación empresarial y Entidades de certificación independientes.