A hitelesítésszolgáltató (CA) fogadja a tanúsítványkérelmet, a szabályzata alapján ellenőrzi a kérelmező adatait, majd egy titkos kulcs segítségével alkalmazza a digitális aláírását a tanúsítványra. Ezután a hitelesítésszolgáltató kibocsátja a tanúsítványt a tulajdonosnak, amelyet az biztonsági azonosítóként használ a nyilvános kulcsokra épülő infrastruktúrában (PKI). A hitelesítésszolgáltató ezenkívül jogosult a tanúsítványok visszavonására és a visszavont tanúsítványok listájának közzétételére.
A hitelesítésszolgáltató külső szervezet is lehet, ilyen például a VeriSign, és lehetnek olyan hitelesítésszolgáltatók is, amelyeket a vállalati használatra hoznak létre az Active Directory tanúsítványszolgáltatások (AD CS) telepítésével. Minden hitelesítésszolgáltató egyéni azonosítási követelményeket támaszthat a tanúsítványkérelmezőkkel szemben; ilyen lehet a tartományi fiók, az alkalmazotti kártya, a vezetői engedély, a közjegyző által hitelesített kérelem vagy a fizikai cím. Az ilyen jellegű azonosítási ellenőrzésekkel gyakran egy helyi hitelesítésszolgáltatót bíznak meg, hogy a szervezetek érvényesíthessék saját alkalmazottaikat vagy tagjaikat.
A Microsoft vállalati hitelesítésszolgáltatók a felhasználói fiókok hitelesítő adatait használják az azonosításhoz. Ha tehát valaki be van jelentkezve egy tartományba, és egy vállalati hitelesítésszolgáltatótól kérelmez tanúsítványt, a hitelesítésszolgáltató az Active Directory tartományi szolgáltatásokban (AD DS) nyilvántartott fiók alapján hitelesíti a kérelmező identitását.
Ezenkívül minden hitelesítésszolgáltató rendelkezik egy saját identitását igazoló tanúsítvánnyal, amelyet egy másik megbízható hitelesítésszolgáltató, illetve a legfelső szintű hitelesítésszolgáltatók esetében önmaga ad ki. Ne feledje, hogy bárki létrehozhat hitelesítésszolgáltatót, ezért a felhasználónak vagy a rendszergazdának kell eldöntenie, hogy megbízik-e egy adott hitelesítésszolgáltatóban, illetve általában azokban a szabályzatokban és eljárásokban, amelyekkel a hitelesítésszolgáltató ellenőrzi a tanúsítványokat igénylő entitásokat.
Legfelső szintű és alárendelt hitelesítésszolgáltatók
A legfelső szintű hitelesítésszolgáltató a szervezet nyilvános kulcsokra épülő infrastruktúrájának legmegbízhatóbb hitelesítésszolgáltatója. Ha a legfelső szintű hitelesítésszolgáltató megbízhatósága csorbát szenved, vagy jogosulatlan entitásnak ad ki egy tanúsítványt, sebezhetővé válik a szervezet tanúsítványalapú biztonsága. Ezért a legfelső szintű hitelesítésszolgáltató esetében a fizikai biztonság és a tanúsítványkibocsátási szabályzat általában szigorúbb, mint az alárendelt hitelesítésszolgáltatók esetében. Noha a legfelső szintű hitelesítésszolgáltatókkal végfelhasználóknak is kiadhatók tanúsítványok, például biztonságos e-mailek küldéséhez, ezekkel a legtöbb szervezetben csak más hitelesítésszolgáltatók, az úgynevezett alárendelt hitelesítésszolgáltatók részére adnak ki tanúsítványokat.
Az alárendelt hitelesítésszolgáltató olyan hitelesítésszolgáltató, amelynek a szervezet egy másik hitelesítésszolgáltatója adott ki tanúsítványt. Az alárendelt hitelesítésszolgáltatók általában konkrét használatra adnak ki tanúsítványokat, például biztonságos e-mail küldéséhez, webes hitelesítéshez vagy intelligens kártyás hitelesítéshez. Az alárendelt hitelesítésszolgáltatók a nekik alárendelt hitelesítésszolgáltatóknak is kiadhatnak tanúsítványokat. A legfelső szintű hitelesítésszolgáltatók, az általuk hitelesített alárendelt hitelesítésszolgáltatók és az alárendelt hitelesítésszolgáltatók által hitelesített egyéb hitelesítésszolgáltatók együttesen alkotják a hitelesítési hierarchiát.
További információk a hitelesítési hierarchiákról: Nyilvánoskulcs-infrastruktúrák.
Vállalati és önálló hitelesítésszolgáltatók
Az AD CS jelenlegi verziója vállalati és önálló hitelesítésszolgáltatók telepítését támogatja. A vállalati és a önálló hitelesítésszolgáltatók működési jellemzőiről a Vállalati hitelesítésszolgáltatók és a Különálló hitelesítésszolgáltatók című témakörökben talál további információkat.