Fristående certifikatutfärdare kan utfärda certifikat som ska användas för t.ex. digitala signaturer, säker e-post med S/MIME (Secure Multipurpose Internet Mail Extensions), autentisering till en säker webbserver genom SSL (Secure Sockets Layer) eller TLS (Transport Layer Security).
En fristående certifikatutfärdare har följande egenskaper:
-
Till skillnad från företagscertifikatutfärdare kräver inte fristående certifikatutfärdare att AD DS (Active Directory Domain Services) används. Även om AD DS används, kan fristående certifikatutfärdare användas som betrodda rotcertifikatutfärdare offline i en hierarki eller användas för att utfärda certifikat till alla klienter över ett extranät eller Internet.
-
När användare skickar en certifikatbegäran till en fristående certifikatutfärdare måste de skicka med identifieringsinformationen och ange vilken typ av certifikat de behöver. (Detta behöver inte göras vid en begäran till en företagscertifikatutfärdare eftersom identitetsinformationen redan finns i AD DS och certifikattypen beskrivs av en certifikatmall.) Autentiseringsinformationen för begäranden hämtas från den lokala datorns SAM-databas (Security Accounts Manager).
-
Som standard markeras alla certifikatbegäranden till den fristående certifikatutfärdaren som väntande tills administratören verifierar informationen och godkänner begäran. Administratören måste utföra uppgifterna eftersom autentiseringsuppgifterna för den som begär certifikatet inte verifieras av den fristående certifikatutfärdaren.
-
Certifikatmallar används inte.
-
Administratören måste distribuera den fristående certifikatutfärdarens certifikat till domänanvändarnas arkiv för betrodda rotcertifikat eller så måste användarna göra det själva.
-
Om en krypteringsleverantör som stöder ECC (Elliptic Curve Cryptography) används, kommer en fristående certifikatutfärdare att godkänna varje användning av ECC-nyckeln. Mer information finns på sidan om nästa generations kryptering (
https://go.microsoft.com/fwlink/?LinkID=85480 ). Sidan kan vara på engelska.
När en fristående certifikatutfärdare använder AD DS finns följande ytterligare funktioner:
-
Om en medlem i gruppen Domänadministratörer eller en administratör med skrivbehörighet till en domänkontrollant installerar en fristående rotcertifikatutfärdare, läggs den automatiskt till i certifikatarkivet för betrodda rotcertifikatutfärdare för alla användare och datorer i domänen. Därför bör du inte ändra standardåtgärden som ska utföras när certifikatutfärdaren tar emot certifikatbegäranden om du installerar en fristående rotcertifikatutfärdare i en Active Directory-domän. Om du gör det måste du ha en betrodd rotcertifikatutfärdare som automatiskt utfärdar certifikat utan att verifiera identiteten hos den som begär certifikatet.
-
Om en fristående certifikatutfärdare installeras av en medlem i gruppen Domänadministratörer i den överordnade domänen i företaget eller av en administratör med skrivbehörighet till AD DS, publiceras certifikatutfärdarcertifikatet och listan över återkallade certifikat till AD DS.