Zelfstandige certificeringsinstanties (CA's) kunnen certificaten verlenen voor verschillende doeleinden, zoals digitale handtekeningen, beveiligde e-mail met S/MIME (Secure Multipurpose Internet Mail Extensions) en verificatie bij een beveiligde webserver met SSL (Secure Sockets Layer) of TLS (Transport Layer Security).
Een zelfstandige CA heeft de volgende kenmerken:
-
In tegenstelling tot een ondernemings-CA maakt een zelfstandige CA geen gebruik van Active Directory Domain Services (AD DS). Ook als u AD DS wel gebruikt, kunnen zelfstandige CA's worden gebruikt als offline vertrouwde basis-CA's in een CA-hiërarchie of om certificaten aan clients te verlenen via een extranet of internet.
-
Wanneer gebruikers een certificaataanvraag indienen bij een zelfstandige CA, moeten ze hun identiteitsgegevens invoeren en opgeven welk type certificaat ze nodig hebben. (Dit is niet nodig wanneer een aanvraag wordt ingediend bij een ondernemings-CA, omdat AD DS al beschikt over de gegevens van de gebruiker en het type certificaat wordt beschreven door een certificaatsjabloon). De verificatiegegevens voor aanvragen worden opgehaald uit de SAM-database (Security Accounts Manager) van de lokale computer.
-
Alle certificaataanvragen die naar de zelfstandige CA worden gestuurd, krijgen standaard de status 'In behandeling' totdat de beheerder van de CA de gegevens heeft gecontroleerd en de aanvraag heeft goedgekeurd. Deze taken moeten door de beheerder worden uitgevoerd, omdat de referenties van de certificaataanvrager niet worden geverifieerd door de zelfstandige CA.
-
Er worden geen certificaatsjablonen gebruikt.
-
De beheerder moet het certificaat van de zelfstandige CA expliciet distribueren naar het archief met vertrouwde basiscertificeringsinstanties van de domeingebruiker, of gebruikers moeten dat zelf doen.
-
Als een cryptografieprovider die ECC (Elliptic Curve Cryptography) ondersteunt, wordt gebruikt, wordt elk sleutelgebruik voor de ECC-sleutel gerespecteerd door een zelfstandige CA. Zie Cryptography Next Generation (
https://go.microsoft.com/fwlink/?LinkID=85480 ) voor meer informatie.
Wanneer een zelfstandige CA gebruikmaakt van AD DS, beschikt de CA over de volgende extra voorzieningen:
-
Wanneer een lid van de groep Domeinadministrators of een beheerder met schrijftoegang tot een domeincontroller een zelfstandige basis-CA installeert, wordt deze automatisch toegevoegd aan het archief met vertrouwde basiscertificeringsinstanties voor alle gebruikers en computers in het domein. Daarom moet u de standaardactie van de CA bij ontvangst van certificaataanvragen (waarbij aanvragen de status 'In behandeling' krijgen) niet wijzigen wanneer u een zelfstandige basis-CA installeert in een Active Directory-domein. Als u dat wel doet, hebt u een vertrouwde basis-CA die automatisch certificaten verleent zonder de identiteit van de certificaataanvrager te controleren.
-
Als een zelfstandige CA wordt geïnstalleerd door een lid van de groep Domeinadministrators van het bovenliggende domein in de onderneming of door een beheerder met schrijftoegang tot AD DS, worden het CA-certificaat en de certificaatintrekkingslijst (CRL) van de zelfstandige CA naar AD DS gepubliceerd.