Een certificeringsinstantie (CA) ontvangt certificaataanvragen, verifieert de gegevens van de aanvrager op basis van het beleid van de CA en gebruikt de bijbehorende persoonlijke sleutel om het certificaat digitaal te ondertekenen. De CA verleent het certificaat vervolgens aan de certificaathouder voor gebruik als beveiligingsreferentie binnen een openbare-sleutelinfrastructuur (PKI). Een CA is ook verantwoordelijk voor het intrekken van certificaten en het publiceren van een certificaatintrekkingslijst (CRL).
Een CA kan een externe entiteit zijn, zoals VeriSign, of een CA die u zelf maakt voor gebruik door uw organisatie door Active Directory Certificate Services (AD CS) te installeren. Elke CA kan eigen vereisten hebben voor het aantonen van de identiteit van certificaataanvragers, zoals een domeinaccount, werknemersbadge, rijbewijs, gelegaliseerde aanvraag of fysiek adres. Dergelijke identificatiecontroles worden vaak gebruikt voor een CA op locatie, zodat organisaties hun eigen medewerkers of leden kunnen valideren.
Ondernemings-CA's van Microsoft gebruiken de referenties van het gebruikersaccount als identiteitsbewijs van een persoon. Met andere woorden, als u bent aangemeld bij een domein en een certificaat aanvraagt bij een ondernemings-CA, kan de CA uw identiteit verifiëren op basis van uw account in Active Directory Domain Services (AD DS).
Elke CA heeft bovendien een certificaat om de eigen identiteit aan te tonen. Dit certificaat is verleend door een andere vertrouwde CA, of bij basis-CA's, door zichzelf. Het is belangrijk zich te realiseren dat iedereen een CA kan maken. Een gebruiker of beheerder moet daarom beslissen of een bepaalde CA wordt vertrouwd, en daarmee ook het beleid en de procedures van die CA voor het aantonen van de indentiteit van de entiteiten waaraan door die CA certificaten worden verleend.
Basis-CA's en onderliggende CA's
Een basis-CA is het meest vertrouwde type CA in de PKI van een organisatie. Als de basis-CA onveilig is geworden of als deze een certificaat verleent aan een onbevoegde entiteit, kan de hele op certificaten gebaseerde beveiliging in uw organisatie gevaar lopen. Daarom zijn zowel de fysieke veiligheid als het beleid voor certificaatverlening voor een basis-CA meestal strenger dan voor onderliggende CA's. Basis-CA's kunnen weliswaar worden gebruikt om aan eindgebruikers certificaten te verlenen voor taken zoals het verzenden van beveiligde e-mail, maar in de meeste organisaties worden ze alleen gebruikt om certificaten te verlenen aan andere, onderliggende CA's.
Een onderliggende CA is een CA waaraan een certificaat is verleend door een andere CA in uw organisatie. Een onderliggende CA verleent meestal certificaten voor een specifiek gebruik, zoals beveiligde e-mail, verificatie via het web of verificatie met smartcards. Onderliggende CA's kunnen ook certificaten verlenen aan andere CA's op een lager niveau. Een basis-CA, de onderliggende CA's die door de basis-CA zijn gecertificeerd en onderliggende CA's die door andere onderliggende CA's zijn gecertificeerd, vormen samen een certificeringshiërarchie.
Zie Openbare-sleutelinfrastructuren voor meer informatie over certificeringshiërarchieën.
Ondernemings-CA's en zelfstandige CA's
Deze versie van AD CS biedt ondersteuning voor de installatie van zelfstandige CA's en ondernemings-CA's. Zie Ondernemings-CA's en Zelfstandige CA's voor informatie over de verschillen tussen de werking van ondernemings-CA's en zelfstandige CA's.