O snap-in PKI de Empresa é utilizado para garantir que todos os elementos seguintes numa infra-estrutura de chaves públicas (PKI) funcionem correctamente, estejam disponíveis e sejam válidos:
-
Autoridades de certificação (AC). A AC aceita um pedido de certificado, verifica a informação do requerente de acordo com a política e, depois, utiliza a sua chave privada para assinar o certificado. A AC emite, em seguida, o certificado para o requerente para este utilizar como credencial de segurança numa PKI. A AC também é responsável pela revogação de certificados e publicação de uma lista de revogação de certificados (CRL).
-
Certificados de AC. Um certificado de AC é um certificado emitido por uma AC para si ou para uma segunda AC, com o objectivo de criar uma relação definida entre ambas. Um certificado que é emitido por uma AC para si própria é referido como um certificado de raiz fidedigna. Os certificados de AC são essenciais para definir o caminho e as restrições de utilização de todos os certificados das outras entidades emitidos para utilização na PKI.
-
Localizações de acesso a informações sobre autoridade. As localizações de acesso a informações sobre autoridade são URL adicionadas a um certificado na respectiva extensão de acesso a informações de autoridade. Estas URL podem ser utilizadas por uma aplicação ou serviço para obter o certificado da AC emissora. Estes certificados de AC são, depois, utilizados para validar a assinatura do certificado e para construir um caminho para um certificado fidedigno.
-
CRLs. As CRL são listas completas e assinadas digitalmente de certificados não expirados que foram revogados. Esta CRL é obtida por clientes que podem, depois, colocar em cache a CRL (com base na duração configurada da CRL) e utilizá-la para verificar certificados apresentados para utilização.
-
Pontos de distribuição de CRL. Os pontos de distribuição de CRL são localizações, normalmente URL, que são adicionadas a um certificado na extensão de ponto de distribuição da CRL. Os pontos de distribuição de CRL podem ser utilizados por uma aplicação ou por um serviço para obter uma CRL. Os pontos de distribuição de CRL são contactados quando uma aplicação ou um serviço precisa de determinar se um certificado foi revogado antes do respectivo período de validade terminar.
O snap-in de Autoridade de Certificação permite a um administrador monitorizar e gerir estes elementos de PKI relativamente a uma AC. No entanto, é necessário utilizar instâncias separadas do snap-in para monitorizar e gerir uma PKI, se estiver envolvida mais de uma AC. Além disso, o snap-in de Autoridade de Certificação não pode ser utilizado para integrar as AC não Microsoft na infra-estrutura e não pode ser utilizado para gerir os arquivos das localizações de acesso a informações sobre autoridade e dos pontos de distribuição de CRL. O snap-in de PKI de Empresa pode, pois, ser utilizado para resolver estas questões a partir de um único snap-in.
Para mais informações sobre a forma como as ACs, os certificados de ACs, as localizações de acesso a informações sobre autoridade, os pontos de distribuição de CRL e as CRL funcionam em conjunto para criar uma hierarquia de fidedignidade de chaves públicas, consulte o tópico que aborda o modo de funcionamento dos Serviços de Certificados (
Referências adicionais
-
Descrição Geral da PKI de Empresa
-
Serviços de Certificados do Active Directory (AD CS) (
https://go.microsoft.com/fwlink/?LinkID=48545 )