Les autorités de certification d’entreprise peuvent émettre des certificats destinés à être utilisés pour les signatures numériques, la sécurisation de messagerie électronique à l’aide des normes S/MIME (Secure/Multipurpose Internet Mail Extensions), l’authentification sur un serveur Web sur des connexions SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) et la connexion sur un domaine à l’aide d’une carte à puce.
Une autorité de certification d’entreprise possède les caractéristiques suivantes :
-
Requiert l’accès aux services de domaine Active Directory (AD DS, Active Directory Domain Services).
-
Utilise la Stratégie de groupe pour propager son certificat dans le magasin Autorités de certification de racine de confiance pour tous les utilisateurs et ordinateurs du domaine.
-
Publie des certificats utilisateur et des listes de révocation de certificats (CRL) pour les services AD DS. Pour publier des certificats pour les services AD DS, le serveur sur lequel l’autorité de certification est installée doit être membre du groupe Éditeurs de certificats. Ceci est automatique pour le domaine du serveur, mais le serveur doit avoir reçu par délégation les autorisations de sécurité adéquates pour publier des certificats dans d’autres domaines.
Remarques | |
Vous devez être membre du groupe Admins du domaine ou être un administrateur avec un accès en Écriture sur les services AD DS pour installer une autorité de certification d’entreprise racine. |
Une autorité de certification d’entreprise émet des certificats basés sur un modèle de certificat. La fonctionnalité suivante est possible si vous utilisez les modèles de certificats :
-
Les autorités de certification d’entreprise appliquent des vérifications d’informations d’identification sur les utilisateurs lors des inscriptions de certificat. Chaque modèle de certificat dispose d’une autorisation de sécurité définie dans les services AD DS qui détermine si le demandeur est autorisé à recevoir ce type de certificat.
-
Le nom de sujet du certificat peut être généré automatiquement à partir des informations de services AD DS ou fourni explicitement par le demandeur.
-
Le module de stratégie ajoute une liste d’extensions de certificats prédéfinie au certificat émis. Les extensions sont définies par le modèle de certificat. Cela réduit le nombre d’informations à fournir par un demandeur de certificat concernant ce certificat et l’usage qu’il compte en faire.
-
L’inscription automatique peut être utilisée pour émettre des certificats.