Kuruluş PKI'sı ek bileşeni ortak anahtar altyapısında (PKI) bulunan aşağıdaki tüm öğelerin düzgün çalıştığından, kullanılabilir ve geçerli olduğundan emin olmak için kullanılır:
-
Sertifika yetkilileri (CA). Bir CA sertifika isteğini kabul eder, CA ilkesine uygun olarak istek sahibinin bilgilerini doğrular ve sertifikayı imzalamak için özel anahtarını kullanır. CA daha sonra PKI içinde güvenlik kimlik bilgisi olarak kullanmak için sertifikayı sertifika sahibine verir. CA ayrıca sertifikaları iptal etmekten ve bir sertifika iptal listesi (CRL) yayımlamaktan da sorumludur.
-
CA sertifikaları. CA sertifikası iki CA arasında tanımlı bir ilişki oluşturma amacıyla CA'nın kendine veya ikinci bir CA'ya verdiği sertifikadır. CA'nın kendisine verdiği sertifika güvenilen kök sertifika olarak anılır. CA sertifikaları PI içinde kullanım amacıyla verilen tüm son varlık sertifikaları için sertifika yolunu ve kullanım kısıtlamalarını tanımlamak için kritik öneme sahiptir.
-
Yetkili bilgi erişimi konumları. Yetkili bilgi erişimi konumları bir sertifikaya yetkili bilgi erişimi uzantısında eklenen URL'lerdir. Bu URL'ler veren CA sertifikasını almak için uygulama veya hizmet tarafından kullanılabilir. Bu CA sertifikaları daha sonra sertifika imzasını doğrulamak ve güvenilen sertifikaya yol oluşturmak için kullanılır.
-
CRL'ler. CRL'ler iptal edilen süresi dolmamış sertifikaların tam ve dijital olarak imzalanmış listesidir. Bu CRL daha sonra CRL'yi önbelleğe kaydedebilecek (CRL'nin yapılandırılan ömrüne bağlı olarak) istemciler tarafından alınır ve kullanıma sunulan sertifikaları doğrulamak için kullanılır.
-
CRL dağıtım noktaları. CRL dağıtım noktaları sertifikaya CRL dağıtım noktası uzantısında eklenen genellikle URL olan konumlardır. CRL dağıtım noktaları CRL'yi almak için bir uygulama veya hizmet tarafından kullanılabilir. Bir uygulamanın veya hizmetin bir sertifikanın geçerlilik dönemi sona ermeden önce iptal edilip edilmediğini belirlemesi gerektiğinde CRL dağıtım noktaları ile bağlantı kurulur.
Sertifika Yetkilisi ek bileşeni yöneticilerin tek bir CA için bu PKI öğelerini izlemesine ve yönetmesine olanak tanır. Ancak, birden fazla CA ile ilgileniliyorsa PKI'yı izlemek ve yönetmek için ek bileşenin farklı örneklerine gereksinim duyulur. Ayrıca, Microsoft dışı CA'ları altyapıya tümleştirmek ve yetkili bilgi erişimi konumlarını ve CRL dağıtım noktası depolarını kolaylıkla yönetmek için Sertifika Yetkilisi ek bileşeni kullanılamaz. Bu nedenle, bu sorunları tek bir ek bileşenden çözmek için Kuruluş PKI'sı ek bileşeni kullanılabilir.
Ortak anahtar güven hiyerarşisi oluşturmak için CA'ların, CA sertifikalarının, yetkili bilgi erişimi konumlarının, CRL dağıtım noktalarının ve CRL'lerin nasıl birlikte çalıştığı konusunda daha fazla bilgi için, bkz. Sertifika Hizmetleri Nasıl Çalışır (
Ek başvurular
-
Kuruluş PKI'sına Genel Bakış
-
Active Directory Sertifika Hizmetleri (
https://go.microsoft.com/fwlink/?LinkID=48545 ) (Bu sayfa İngilizce içeriğe sahip olabilir.)