Une autorité de certification a pour fonction d’accepter une demande de certificat, de vérifier les informations du demandeur par rapport à la stratégie de l’autorité de certification, puis d’utiliser sa clé privée pour appliquer sa signature au certificat. L’autorité de certification délivre ensuite le certificat au sujet du certificat pour servir d’informations d’identification de sécurité à l’intérieur d’une infrastructure à clé publique. Une autorité de certification est également chargée de révoquer les certificats et de publier une liste de révocation de certificats (CRL).
Une autorité de certification peut être une entité extérieure, telle que VeriSign, ou elle peut être une autorité de certification que vous créez pour être utilisée par votre organisation en installant les services de certificats Active Directory (AD CS, Active Directory Certificate Services). Chaque autorité de certification peut exiger des demandeurs une preuve d’identité distincte, telle qu’un compte de domaine, un badge d’employé, un permis de conduire, une demande notariée ou une adresse physique. Les contrôles d’indentification telles que ceux-ci nécessitent souvent l’existence d’une autorité de certification sur site, de sorte que les organisations puissent valider leurs propres employés ou membres.
Les autorités de certification d’entreprise Microsoft utilisent les informations d’identification de compte d’utilisateur d’une personne comme preuve d’identité. En d’autres termes, si vous êtes connecté à un domaine et que vous demandez un certificat à une autorité de certification d’entreprise, l’autorité de certification authentifiera votre identité en se basant sur votre compte dans les services de domaine Active Directory (AD DS, Active Directory Domain Services).
Chaque autorité de certification dispose d’un certificat pour confirmer sa propre identité, émis par une autre autorité de certification approuvée ou, dans le cas d’une autorité de certification racine, émis par elle-même. Il est important de se rappeler que n’importe qui peut créer une autorité de certification. Par conséquent, un utilisateur ou un administrateur doit décider d’approuver ou non une autorité de certification et, par extension, les stratégies et procédures en place de l’autorité de certification pour confirmer l’identité des entités auxquelles cette autorité de certification délivre des certificats.
Autorités de certification racines et secondaires
Une autorité de certification racine est censée être le type d’autorité de certification le plus approuvé dans l’infrastructure à clé publique d’une organisation. Si l’autorité de certification est compromise ou si elle émet un certificat à une entité non autorisée, toute la sécurité basée sur certificats de votre organisation devient vulnérable. Par conséquent, les stratégies de sécurité physique et d’émission de certificat d’une autorité de certification racine sont plus rigoureuses que celles des autorités de certification secondaires. Alors que les autorités de certification racines peuvent être utilisées pour délivrer des certificats aux utilisateurs finaux, par exemple pour l’envoi de courrier électronique sécurisé, la plupart des organisations les utiliseront uniquement pour délivrer des certificats à d’autres autorités de certification, appelées autorités de certification secondaires.
Une autorité de certification secondaire est une autorité de certification qui a reçu un certificat d’une autre autorité de certification de votre organisation. Habituellement, une autorité de certification secondaire délivre des certificats à des fins spécifiques, telles que la messagerie électronique sécurisé, l’authentification Web ou l’authentification par carte à puce. Les autorités de certification secondaires peuvent également délivrer des certificats à d’autres autorités de certification qui sont encore plus secondaires. Ensemble, une autorité de certification racine, les autorités de certification secondaires certifiées par la racine et les autorités de certification secondaires certifiées par d’autres autorités de certification secondaires forment une hiérarchie de certification.
Pour plus d’informations sur les hiérarchies de certification, voir Infrastructures à clé publique.
Autorités de certification d’entreprise et autonomes
Cette version des services AD CS prend en charge l’installation d’autorités de certification autonomes et d’autorités de certification d’entreprise. Pour obtenir des informations sur les caractéristiques opérationnelles des autorités de certification d’entreprise et des autorités de certification autonomes, voir Autorités de certification d’entreprise et Autorités de certification autonomes.