Certifikační autorita (CA) přijímá žádosti o certifikát, ověřuje informace o žadateli v souladu se svými zásadami a pak pomocí privátního klíče označí certifikát digitálním podpisem. Certifikační autorita pak vystaví subjektu certifikátu certifikát, který lze využívat jako zabezpečovací oprávnění v rámci infrastruktury veřejných klíčů (PKI). Certifikační autorita je rovněž zodpovědná za odvolávání certifikátů a publikování seznamu odvolaných certifikátů (CRL).

Certifikační autorita může být vytvořena vnější entitou, jako je společnost VeriSign, nebo ji můžete vytvořit pro vaši organizaci instalací služby AD CS (Active Directory Certificate Services). Každá certifikační autorita má, co se týká ověřování totožnosti, různé požadavky na žadatele o certifikáty, jako například účet v doméně, zaměstnanecký průkaz, řidičský průkaz, notářsky ověřená žádost nebo fyzická adresa. Kontroly totožnosti tohoto typu často zabezpečují certifikační autority v síti, aby organizace mohly ověřovat vlastní zaměstnance nebo členy.

Podnikové certifikační autority společnosti Microsoft používají pro ověření totožnosti pověřovací údaje vlastníka uživatelského účtu. To znamená, že pokud jste přihlášeni do domény a požadujete certifikát od podnikové certifikační autority, může certifikační autorita vaši identitu ověřit na základě účtu ve službě AD DS (Active Directory Domain Services).

Každá certifikační autorita také vlastní certifikát potvrzující její totožnost, který vystavila jiná důvěryhodná certifikační autorita, nebo v případě kořenové certifikační autority tatáž autorita. Je nutné si uvědomit, že certifikační autoritu může vytvořit kterýkoli uživatel. Proto se uživatel nebo správce musí rozhodnout, zda certifikační autoritě důvěřovat a zda tedy důvěřovat zásadám a postupům uplatňovaným certifikační autoritou pro potvrzení identity entit, kterým byly vydány certifikáty touto certifikační autoritou.

Kořenové a podřízené certifikační autority

Kořenová certifikační autorita by měla být nejdůvěryhodnějším typem certifikační autority v infrastruktuře veřejných klíčů (PKI) organizace. Pokud je kořenová certifikační autorita ohrožena nebo vydá certifikát neautorizované entitě, je zabezpečení využívající certifikáty v organizaci ohroženo. Proto jsou fyzické zabezpečení a zásady vydávání certifikátů kořenové certifikační autority obvykle přísnější než u podřízených certifikačních autorit. I když lze použít kořenovou certifikační autoritu pro vystavování certifikátů koncovým uživatelům k takovým účelům, jako je posílání zabezpečených e-mailů, většinou se kořenové autority používají výhradně pro vystavování certifikátů jiným certifikačním autoritám, které se nazývají podřízené certifikační autority.

Podřízená certifikační autorita je certifikační autorita, která získala certifikát od jiné certifikační autority organizace. Obvykle vystavuje podřízená certifikační autorita certifikáty ke konkrétním účelům, jako jsou zabezpečení e-mailu, ověřování na webu nebo ověřování pomocí čipových karet. Podřízené certifikační autority mohou také vystavovat certifikáty dalším certifikačním autoritám, které se nacházejí níže v hierarchii autorit. Hierarchie certifikátů je pak tvořena kořenovou autoritou, podřízenými certifikačními autoritami, které získaly certifikát od kořenové autority, a podřízenými certifikačními autoritami, které získaly certifikát od jiných podřízených autorit.

Další informace o hierarchii certifikátů získáte kliknutím na odkaz Infrastruktury veřejných klíčů.

Podnikové a samostatné certifikační autority

Tato verze služby AD CS podporuje instalaci samostatných certifikačních autorit a podnikových certifikačních autorit. Další informace o provozních charakteristikách podnikových certifikačních autorit a samostatných certifikačních autorit naleznete v tématech Podnikové certifikační autority a Samostatné certifikační autority.


Obsah