Az önálló hitelesítésszolgáltatók digitális aláírásokhoz, az S/MIME (Secure Multipurpose Internet Mail Extensions) protokoll segítségével küldött biztonságos e-mailekhez, valamint az SSL (Secure Sockets Layer) és TLS (Transport Layer Security) protokollok segítségével történő biztonságos webkiszolgáló-csatlakozásokhoz állíthatnak ki tanúsítványokat.
Az önálló hitelesítésszolgáltatók jellemzői:
-
A vállalati hitelesítésszolgáltatóktól eltérően önálló hitelesítésszolgáltatók esetén nincs szükség az Active Directory tartományi szolgáltatások (AD DS) használatára. Az önálló hitelesítésszolgáltatók az Active Directory tartományi szolgáltatások használata esetén is működtethetők a hitelesítésszolgáltatói hierarchia offline megbízható legfelső szintű hitelesítésszolgáltatóiként, illetve tanúsítványok extraneten vagy az interneten keresztüli kiadása céljából.
-
Amikor egy felhasználó önálló hitelesítésszolgáltatónak küld tanúsítványkérelmet, meg kell adnia azonosítási adatait és az igényelt tanúsítvány típusát. (Vállalati hitelesítésszolgáltatónak küldött kérelmek esetén erre nincs szükség, mert a vállalati felhasználók adatai már szerepelnek az Active Directory tartományi szolgáltatásokban, a tanúsítvány típusát pedig a tanúsítványsablon határozza meg.) A kérelmekhez szükséges hitelesítési információk a helyi számítógép Biztonsági fiókkezelő adatbázisából olvashatók be.
-
Alapértelmezés szerint az önálló hitelesítésszolgáltatóknak küldött tanúsítványkérelmeket a rendszer függőben hagyja mindaddig, amíg az önálló hitelesítésszolgáltató rendszergazdája nem ellenőrzi az átadott információkat, és jóvá nem hagyja a kérelmet. A rendszergazdának azért kell elvégeznie ezeket a feladatokat, mert az önálló hitelesítésszolgáltató nem ellenőrzi a tanúsítványigénylő hitelesítő adatait.
-
Tanúsítványsablonok használatára nem kerül sor.
-
A rendszergazdának explicit módon kell továbbítania az önálló hitelesítésszolgáltató tanúsítványát a tartományi felhasználó megbízható legfelső szintű hitelesítésszolgáltatói tárolójába, vagy maguknak a felhasználóknak kell elvégezniük ezt a feladatot.
-
Elliptikus görbéjű titkosítást (ECC) támogató kriptográfiai szolgáltató esetén az önálló hitelesítésszolgáltató elfogadja az ECC-kulcs minden kulcshasználatát. További információt a titkosítás következő generációját ismertető cikkben talál (
https://go.microsoft.com/fwlink/?LinkID=85480 ). (Előfordulhat, hogy a lap angol nyelven jelenik meg.)
Amikor az önálló hitelesítésszolgáltató az Active Directory tartományi szolgáltatásokat használja, a hitelesítésszolgáltató a következő többletszolgáltatásokat nyújtja:
-
Ha a Tartománygazdák csoport egyik tagja vagy egy tartományvezérlőn írási jogosultsággal rendelkező rendszergazda önálló legfelső szintű hitelesítésszolgáltatót telepít, azt a rendszer automatikusan hozzáadja a Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójához a tartomány összes felhasználója és számítógépe számára. Ezért ha önálló legfelső szintű hitelesítésszolgáltatót telepít egy Active Directory-tartományban, ne módosítsa a hitelesítésszolgáltató tanúsítványkérelmekre adott alapértelmezett reakcióját (vagyis a kérelmek folyamatban lévő állapotba helyezését). Ellenkező esetben olyan megbízható legfelső szintű hitelesítésszolgáltatót hoz létre, amely automatikusan, a tanúsítványigénylők identitásának ellenőrzése nélkül kiadja a tanúsítványokat.
-
Ha az önálló hitelesítésszolgáltatót a vállalati szülőtartomány Tartománygazdák csoportjának egyik tagja vagy egy Active Directory tartományi szolgáltatásokban írási jogosultsággal rendelkező rendszergazda telepít, az önálló hitelesítésszolgáltató közzéteszi hitelesítésszolgáltatói tanúsítványát és a visszavont tanúsítványok listáját az Active Directory tartományi szolgáltatásokban.