Un'Autorità di certificazione (CA) accetta una richiesta di certificato, verifica le informazioni del richiedente in base al criterio della CA e infine utilizza la propria chiave privata per applicare la propria firma digitale al certificato. La CA rilascia quindi il certificato al soggetto richiedente, che potrà utilizzarlo come credenziale di sicurezza nell'ambito di un'infrastruttura a chiave pubblica (PKI). Una CA ha inoltre il compito di revocare i certificati e di pubblicare un elenco di revoche dei certificati (CRL).
Una CA può essere un'entità esterna, come VeriSign, oppure una CA creata da un'organizzazione ai propri scopi, mediante l'installazione di Servizi certificati Active Directory. Ogni CA può avere diversi requisiti di identificazione dei soggetti richiedenti, come un account di dominio, il badge del dipendente, la patente di guida, una richiesta autenticata legalmente o un indirizzo fisico. Simili controlli d'identità spesso giustificano la necessità di una CA in sede, che consenta alle organizzazioni di convalidare i propri dipendenti o membri.
Le Autorità di certificazione dell'organizzazione (enterprise) Microsoft utilizzano per l'identificazione le credenziali dell'account utente. In altre parole, se un utente è connesso a un dominio e richiede un certificato a una CA dell'organizzazione (enterprise), la CA può autenticarne l'identità in base al relativo account in Servizi di dominio Active Directory.
Ogni CA ha inoltre un certificato che conferma la propria identità, rilasciato da un'altra CA attendibile oppure, in caso di CA radice, rilasciato dalla CA stessa. È importante tenere presente che chiunque può creare una CA. Un utente o un amministratore deve pertanto decidere se considerare attendibile una determinata CA e, per estensione, i criteri e le procedure adottati dalla CA per la verifica delle identità dei soggetti ai quali rilascia certificati.
CA radice e subordinate
La CA radice è considerata il tipo di CA più attendibile nella PKI di un'organizzazione. Se la CA radice viene compromessa o rilascia un certificato a un'entità non autorizzata, qualsiasi sistema di sicurezza basato su certificati nell'organizzazione diventa vulnerabile. Per tale motivo, sia la sicurezza fisica, sia i criteri di rilascio dei certificati di una CA radice sono generalmente più rigorosi rispetto alle CA subordinate. Pur se le CA radice possono essere utilizzate per rilasciare certificati agli utenti finali per attività quali l'invio di posta elettronica sicura, vengono solitamente utilizzate solo per rilasciare certificati ad altre CA, dette CA subordinate.
Una CA subordinata è una CA alla quale è stato rilasciato un certificato da parte di un'altra CA nell'organizzazione. In genere le CA subordinate rilasciano certificati per usi specifici, come la sicurezza della posta elettronica, l'autenticazione basata su Web o l'autenticazione smart card. Le CA subordinate possono inoltre rilasciare certificati ad altre CA a un livello inferiore di subordinazione. Insieme, una CA radice, le CA subordinate certificate dalla CA radice e le CA subordinate certificate da altre CA subordinate costituiscono una gerarchia di certificazione.
Per ulteriori informazioni sulle gerarchie di certificazione, vedere Infrastrutture a chiave pubblica.
CA dell'organizzazione (enterprise) e autonome (Standalone)
Questa versione di Servizi certificati Active Directory supporta l'installazione di CA autonome (Standalone) e CA dell'organizzazione (enterprise). Per informazioni sulle caratteristiche operative delle CA dell'organizzazione (enterprise) e delle CA autonome (Standalone), vedere Autorità di certificazione dell'organizzazione (enterprise) e Autorità di certificazione autonome (Standalone).