As autoridades de certificação (ACs) autónomas podem emitir certificados para assinaturas digitais, correio electrónico seguro utilizando S/MIME (Secure Multipurpose Internet Mail Extensions) e autenticação para um servidor Web seguro utilizando SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).
Uma AC autónoma tem as seguintes características:
-
Ao contrário de uma AC empresarial, uma AC autónoma não requer a utilização dos Serviços de Domínio do Active Directory (AD DS). Mesmo que esteja a utilizar o AD DS, as ACs autónomas podem ser utilizadas como ACs de raiz fidedigna offline numa hierarquia de ACs ou para emitir certificados para clientes numa extranet ou na Internet.
-
Quando os utilizadores submetem um pedido de certificado para uma AC autónoma, têm de fornecer as respectivas informações de identificação e especificar o tipo de certificado de que necessitam. (Isto não tem de ser efectuado quando submetem um pedido para uma AC empresarial, uma vez que as informações do utilizador empresarial já se encontram no AD DS e o tipo de certificado é descrito por um modelo de certificado). As informações de autenticação para pedidos são obtidas a partir da base de dados do Gestor de Contas de Segurança do computador local.
-
Por predefinição, todos os pedidos de certificados enviados para a AC autónoma são definidos como pendentes até o administrador da AC autónoma verificar as informações submetidas e aprovar o pedido. O administrador tem de executar estas tarefas porque as credenciais do solicitador do certificado não são verificadas pela AC autónoma.
-
Os modelos de certificado não são utilizados.
-
O administrador tem de distribuir de forma explícita o certificado da AC autónoma para o arquivo de raiz fidedigna do utilizador do domínio, ou os utilizadores terão de executar eles próprios essa tarefa.
-
Se um fornecedor criptográfico que suporte a criptografia ECC (Elliptic Curve Cryptography) for utilizado, uma AC autónoma vai respeitar todas as utilizações da chave ECC. Para mais informações, consulte os novos avanços sobre criptografia (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (em inglês).
Quando uma AC autónoma utiliza o AD DS, a AC dispõe das seguintes funcionalidades adicionais:
-
Se um membro do grupo Admins de Domínio ou um administrador com acesso de Escrita para um controlador de domínio instalar uma AC de raiz autónoma, é automaticamente adicionado ao arquivo de certificados Autoridades de Certificação de Raiz Fidedigna para todos os utilizadores e computadores no domínio. Por este motivo, se instalar uma AC de raiz autónoma num domínio do Active Directory, não deverá alterar a acção predefinida da AC quando receber pedidos de certificação (os pedidos são marcados como pendentes). Caso contrário, terá uma AC de raiz fidedigna que emite automaticamente certificados sem verificar a identidade do solicitador do certificado.
-
Se uma AC autónoma for instalada por um membro do grupo Admins do Domínio do domínio principal na empresa, ou por um administrador com acesso de Escrita ao AD DS, então a AC autónoma vai publicar o respectivo certificado de AC e a lista de revogação de certificados (CRL) no AD DS.