Mit eigenständigen Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate für Zwecke ausgestellt werden, z. B. digitale Signaturen, sichere E-Mail mit S/MIME (Secure Multipurpose Internet Mail Extensions) und Authentifizierung bei einem sicheren Webserver mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security).
Eine eigenständige Zertifizierungsstelle hat folgende Merkmale:
-
Im Gegensatz zur Unternehmenszertifizierungsstelle ist bei einer eigenständigen Zertifizierungsstelle die Verwendung von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) nicht erforderlich. Selbst wenn Sie AD DS verwenden, können eigenständige Zertifizierungsstellen offline als vertrauenswürdige Stammzertifizierungsstellen in einer Zertifizierungsstellenhierarchie verwendet werden oder um über ein Extranet oder das Internet Zertifikate für Clients auszustellen.
-
Wenn Benutzer eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle senden, müssen sie sich identifizieren und den benötigten Zertifikattyp angeben. (Dies ist nicht erforderlich, wenn eine Anforderung an eine Unternehmenszertifizierungsstelle gesendet wird, da die Identifikationsinformationen des Benutzers aus dem Unternehmen bereits in AD DS vorliegen und der Zertifikattyp durch eine Zertifikatvorlage beschrieben wird.) Die Authentifizierungsinformationen für Anforderungen werden von der Datenbank der Sicherheitskontenverwaltung des lokalen Computers abgerufen.
-
Standardmäßig sind alle an eine eigenständige Zertifizierungsstelle gesendeten Zertifikatanforderungen als ausstehend festgelegt, bis der Administrator der eigenständigen Zertifizierungsstelle die gesendeten Informationen überprüft und die Anforderung genehmigt. Der Administrator muss diese Aufgaben ausführen, da die Anmeldeinformationen des Zertifikatanforderers von der eigenständigen Zertifizierungsstelle nicht überprüft werden.
-
Es werden keine Zertifikatvorlagen verwendet.
-
Der Administrator muss das jeweilige Zertifikat der eigenständigen Zertifizierungsstelle an den vertrauenswürdigen Stammspeicher des Domänenbenutzers verteilen, oder die Benutzer müssen diese Aufgabe selbst ausführen.
-
Wenn ein Kryptografieanbieter, der elliptische Kurvenkryptografie (Elliptic Curve Cryptography, ECC) unterstützt, verwendet wird, akzeptiert die eigenständige Zertifizierungsstelle jede Schlüsselverwendung für den ECC-Schlüssel. Weitere Informationen finden Sie im Thema zu CNG (
https://go.microsoft.com/fwlink/?LinkID=85480 , möglicherweise in englischer Sprache).
Wenn eine eigenständige Zertifizierungsstelle AD DS verwendet, verfügt die Zertifizierungsstelle über diese zusätzlichen Features:
-
Wenn ein Mitglied der Gruppe Domänen-Admins oder ein Administrator mit Schreibzugriff auf einen Domänencontroller eine eigenständige Stammzertifizierungsstelle installiert, wird diese automatisch dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen für alle Benutzer und Computer in der Domäne hinzugefügt. Deshalb sollten Sie die Standardaktion der Zertifizierungsstelle beim Empfang von Zertifikatanforderungen (die Anforderungen als ausstehend kennzeichnet) nicht ändern, wenn Sie eine eigenständige Stammzertifizierungsstelle in einer Active Directory-Domäne installieren. Andernfalls verfügen Sie über eine vertrauenswürdige Stammzertifizierungsstelle, die automatisch Zertifikate ausstellt, ohne vorher die Identität des Zertifikatanforderers zu überprüfen.
-
Wenn eine eigenständige Zertifizierungsstelle von einem Mitglied der Gruppe Domänen-Admins der übergeordneten Domäne im Unternehmen oder von einem Administrator mit Schreibzugriff auf AD DS installiert wird, veröffentlicht die eigenständige Zertifizierungsstelle ihr Zertifizierungsstellenzertifikat und ihre Zertifikatsperrliste (Certificate Revocation List, CRL) in AD DS.