獨立憑證授權單位 (CA) 可基於下列目的發行憑證:數位簽章、使用 S/MIME (安全多用途網際網路郵件延伸) 保護電子郵件,以及使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來驗證安全網頁伺服器。
獨立 CA 具備下列特性:
-
與企業 CA 不同,獨立 CA 不需要使用 Active Directory 網域服務 (AD DS)。即使您使用 AD DS,獨立 CA 也可用來做為 CA 階層中離線的信任根 CA,或者透過外部網路或網際網路,將憑證發行至用戶端。
-
當使用者將憑證要求提交至獨立 CA 時,必須提供識別資訊,並指定所需的憑證類型(將要求提交至企業 CA 時不需執行此作業,因為企業使用者資訊已經存在於 AD DS 中,而且憑證類型由憑證範本描述)。要求的驗證資訊可從本機電腦的 [安全性帳戶管理員] 資料庫中取得。
-
根據預設,在獨立 CA 系統管理員驗證提交資訊並核准要求之前,傳送至獨立 CA 的所有憑證要求都會設定為擱置。系統管理員必須執行這些工作,因為獨立 CA 尚未驗證憑證要求者的認證。
-
不使用憑證範本。
-
系統管理員必須明確地將獨立 CA 的憑證發佈至網域使用者的信任根存放區,或者使用者必須自行執行該作業。
-
如果使用支援橢圓曲線加密編譯 (ECC) 的加密編譯提供者,則獨立 CA 將會接受 ECC 金鑰的每個金鑰使用方法。如需相關資訊,請參閱<新一代加密編譯>(
https://go.microsoft.com/fwlink/?LinkID=85480 (可能為英文網頁) )。
當獨立 CA 使用 AD DS 時,CA 具備下列其他功能:
-
如果 Domain Admins 群組成員或具備網域控制站 [寫入] 存取權的系統管理員安裝獨立根 CA,它即會自動新增至「本機電腦信任根憑證授權單位」憑證存放區,以供網域中的所有使用者和電腦使用。基於此理由,如果您在 Active Directory 網域中安裝獨立根 CA,則不應在接受憑證要求 (將要求標示為擱置) 時變更 CA 的預設動作。否則,您的信任根 CA 會在未驗證憑證要求者的情況下,自動發行憑證。
-
如果獨立 CA 是由企業父系網域的 Domain Admins 群組成員,或由具備 AD DS [寫入] 存取權的系統管理員安裝,則獨立 CA 會將其 CA 憑證和憑證撤銷清單 (CRL) 發行至 AD DS。