Infrastruktura veřejných klíčů (PKI) je systém digitálních certifikátů, certifikačních autorit (CA) a registračních autorit, který slouží k ověřování platnosti všech subjektů zúčastněných v určité elektronické transakci prostřednictvím kryptografie využívající veřejného klíče. Standardy infrastruktury veřejných klíčů se stále vyvíjejí, přesto jsou v široké míře implementovány jako nezbytný prvek elektronických obchodů. Další informace o plánování infrastruktury veřejných klíčů a použití kryptografie využívající veřejného klíče naleznete v tématu Zdroje informací ke službě AD CS (Active Directory Certificate Services).
Infrastruktura veřejných klíčů společnosti Microsoft podporuje hierarchický model certifikační autority, který je škálovatelný a zajišťuje konzistenci se stále rostoucím počtem komerčních a jiných produktů certifikačních autorit.
V nejjednodušší podobě se hierarchie certifikátů skládá z jediné certifikační autority. Hierarchie však často obsahuje více certifikačních autorit s jasně definovanými vztahy podřízenosti a nadřízenosti. V tomto modelu jsou podřízené certifikační autority certifikovány certifikáty vystavenými nadřazenými certifikačními autoritami, které vážou veřejný klíč certifikační autority s příslušnou totožností. Certifikační autorita na nejvyšší úrovni hierarchie se nazývá kořenová certifikační autorita. Podřízená autorita kořenové autority se nazývá podřízená certifikační autorita. Další informace naleznete v tématu Typy certifikačních autorit.
Pokud je v systému Windows certifikační autorita považována za důvěryhodnou (jeho certifikát je uložen v úložišti důvěryhodných kořenových certifikátů certifikační autority), jsou důvěryhodné také všechny podřízené certifikační autority v dané hierarchii s platným certifikátem v dané hierarchii. Kořenová certifikační autorita je tedy velmi důležitý bod důvěryhodnosti organizace, který je nutné odpovídajícím způsobem zabezpečit. Další informace naleznete v tématu Certifikáty certifikační autority.
Pro instalaci více podřízených certifikačních autorit existuje několik praktických důvodů, včetně následujících:
-
Použití: Certifikáty lze vystavovat z mnoha důvodů, jako je například zabezpečení e-mailu a ověřování v síti. Zásady vystavování pro různé účely by se měly lišit a rozlišování je základem pro správu těchto zásad.
-
Organizační dělení: Při vystavování certifikátů lze používat různé zásady v závislosti na roli subjektu v rámci organizace. Jak již bylo řečeno, lze tyto zásady rozdělovat a spravovat vytvořením podřízených certifikačních autorit.
-
Geografické dělení: Entity organizace se mohou fyzicky nacházet na různých místech. Síťové spojení mezi těmito místy může pro některá nebo všechna místa vyžadovat samostatné podřízené certifikační autority.
-
Vyrovnávání zatížení: Pokud bude infrastruktura veřejných klíčů (PKI) používána k vydávání velkého počtu certifikátů, může při použití jediné certifikační autority dojít k výraznému zatížení sítě touto autoritou. Použitím více podřízených certifikačních autorit k vydávání stejného druhu certifikátů lze zatížení sítě rozložit mezi více certifikačních autorit.
-
Zálohování a odolnost vůči chybám: Použití více certifikačních autorit zvyšuje pravděpodobnost, že v síti bude vždy v provozu alespoň jedna certifikační autorita schopná obsloužit požadavky uživatelů.
Hierarchie certifikačních autorit poskytuje i výhody týkající se správy, mezi které patří:
-
Pružná konfigurace prostředí pro zabezpečení certifikační autority umožňuje nastavit podle potřeby rovnováhu mezi zabezpečením a použitelností. V případě kořenové certifikační autority můžete například využít specializovaný kryptografický hardware, který lze provozovat na fyzicky zabezpečeném místě nebo v režimu offline. To však může být nepřípustné v případě podřízených certifikačních autorit, ať již z hlediska nákladnosti nebo použitelnosti.
-
Možnost vypnout určitou část hierarchie certifikačních autorit bez ovlivnění navázaných vztahů důvěryhodnosti. Můžete například snadno vypnout a odvolat vystavovaný certifikát certifikační autority přidružený k určitému oddělení bez ovlivnění jiných částí organizace.