Urząd certyfikacji akceptuje żądanie certyfikatu, sprawdza informacje jednostki żądającej certyfikatu zgodnie z zasadami urzędu certyfikacji, a następnie podpisuje cyfrowo certyfikat za pomocą swojego klucza prywatnego. Następnie urząd certyfikacji wystawia podmiotowi certyfikat do użytku jako poświadczenie zabezpieczeń w infrastrukturze kluczy publicznych (PKI). Urząd zabezpieczeń jest również odpowiedzialny za odwoływanie certyfikatów i publikowanie listy odwołania certyfikatów (CRL, certificate revocation list).
Urząd certyfikacji może być jednostką zewnętrzną (na przykład VeriSign) lub urzędem certyfikacji utworzonym do użytku w danej organizacji przez zainstalowanie usług certyfikatów w usłudze Active Directory (AD CS). Każdy urząd certyfikacji może mieć własne wymagania dotyczące dowodzenia tożsamości odpowiednio do wymagań stawianych jednostkom żądającym certyfikatów, jak na przykład konto w domenie, identyfikator pracownika, prawo jazdy, dokument poświadczony przez notariusza czy adres siedziby lub zamieszkania. Tego rodzaju dowody tożsamości stanowią często zabezpieczenie lokalnego urzędu certyfikacji, umożliwiające organizacjom weryfikowanie tożsamości własnych pracowników lub członków.
Urzędy certyfikacji przedsiębiorstwa udostępniane przez firmę Microsoft jako dowodu tożsamości używają poświadczeń konta użytkownika danej osoby. Innymi słowy, jeśli użytkownik jest zalogowany do domeny i żąda certyfikatu z urzędu certyfikacji przedsiębiorstwa, urząd certyfikacji może uwierzytelnić jego tożsamość na podstawie jego konta w usługach domenowych w usłudze Active Directory (AD DS).
Każdy urząd certyfikacji ma też certyfikat potwierdzający jego tożsamość, wystawiony przez inny zaufany urząd certyfikacji lub, w przypadku głównych urzędów certyfikacji, wystawiony przez ten sam urząd. Trzeba pamiętać, że urząd certyfikacji może utworzyć dowolna osoba. Dlatego użytkownik lub administrator musi zadecydować, czy zaufać danemu urzędowi certyfikacji, a tym samym obowiązującym w urzędzie certyfikacji zasadom i procedurom potwierdzania tożsamości certyfikatów wydanych dla jednostek przez ten urząd.
Główne i podrzędne urzędy certyfikacji
Główny urząd certyfikacji jest typem najbardziej zaufanego urzędu certyfikacji w infrastrukturze kluczy publicznych organizacji. Jeśli zostanie naruszone bezpieczeństwo głównego urzędu certyfikacji lub urząd ten wystawi certyfikat nieuprawnionej jednostce, zagrożone zostaną wszystkie zabezpieczenia oparte na certyfikatach w organizacji. Dlatego zarówno fizyczne zabezpieczenia, jak i zasady wystawiania certyfikatów głównego urzędu certyfikacji są zwykle bardziej rygorystyczne niż te dla podrzędnych urzędów certyfikacji. Chociaż główne urzędy certyfikacji mogą być używane do wystawiania certyfikatów użytkownikom końcowym na potrzeby takich zadań, jak wysyłanie bezpiecznej poczty e-mail, w większości organizacji będą one służyły tylko do wystawiania certyfikatów innym urzędom certyfikacji, nazywanym podrzędnymi urzędami certyfikacji.
Podrzędny urząd certyfikacji to urząd certyfikacji, który otrzymał certyfikat wystawiony przez inny urząd certyfikacji w danej organizacji. Zazwyczaj podrzędny urząd certyfikacji wystawia certyfikaty do określonych zastosowań, takich jak zabezpieczanie poczty e-mail, uwierzytelnianie oparte na sieci Web lub uwierzytelnianie kart inteligentnych. Podrzędne urzędy certyfikacji mogą także wystawiać certyfikaty innym urzędom certyfikacji, które znajdują się niżej w hierarchii podporządkowania. Główny urząd certyfikacji, podrzędne urzędy certyfikacji uwierzytelnione przez urząd główny i podrzędne urzędy certyfikacji, które zostały uwierzytelnione przez inne urzędy podrzędne, tworzą razem hierarchię certyfikacji.
Aby uzyskać więcej informacji na temat hierarchii certyfikacji, zobacz temat Infrastruktury kluczy publicznych.
Urzędy certyfikacji przedsiębiorstwa i autonomiczne urzędy certyfikacji
Ta wersja usług AD CS obsługuje instalowanie autonomicznych urzędów certyfikacji i urzędów certyfikacji przedsiębiorstwa. Aby uzyskać informacje na temat właściwości operacyjnych urzędów certyfikacji przedsiębiorstwa i autonomicznych urzędów certyfikacji, zobacz Urzędy certyfikacji przedsiębiorstwa i Autonomiczne urzędy certyfikacji.