Le Autorità di certificazione autonome (Standalone) possono rilasciare certificati per scopi quali le firme digitali, la sicurezza della posta elettronica tramite S/MIME (Secure Multipurpose Internet Mail Extensions) e l'autenticazione a un server Web sicuro mediante SSL (Secure Sockets Layer) o TLS (Transport Layer Security).
Un'Autorità di certificazione autonoma (Standalone) ha le caratteristiche seguenti:
-
A differenza di una CA dell'organizzazione (enterprise), una CA autonoma (Standalone) non richiede l'utilizzo di Servizi di dominio Active Directory. Anche se si utilizza Servizi di dominio Active Directory, è possibile utilizzare CA autonome (Standalone) come CA radice attendibili offline in una gerarchia di CA, oppure per rilasciare certificati a client di un'Extranet o di Internet.
-
Quando gli utenti inviano una richiesta di certificato a una CA autonoma (Standalone), devono fornire i propri dati di identificazione e specificare il tipo di certificato richiesto. Questo non è necessario quando si invia una richiesta a una CA dell'organizzazione (enterprise), perché i dati utente dell'organizzazione sono già disponibili in Servizi di dominio Active Directory e il tipo di certificato è descritto da un modello di certificato. Le informazioni di autenticazione per le richieste sono ricavate dal database di Gestione account di sicurezza del computer locale.
-
Per impostazione predefinita, tutte le richieste di certificati inviate alla CA autonoma (Standalone) sono poste in sospeso finché l'amministratore della CA autonoma non verifica le informazioni fornite e approva la richiesta. L'amministratore deve svolgere queste attività perché le credenziali del richiedente il certificato non sono verificate dalla CA autonoma (Standalone).
-
Non vengono utilizzati modelli di certificato.
-
L'amministratore deve distribuire esplicitamente il certificato della CA autonoma (Standalone) nell'archivio dei certificati radice attendibili dell'utente di dominio, oppure l'utente stesso deve eseguire tale attività.
-
Se si utilizza un provider di crittografia che supporta la crittografia a curva ellittica (ECC), la CA autonoma (Standalone) accetterà ogni utilizzo della chiave ECC. Per ulteriori informazioni, vedere la pagina relativa a Cryptography Next Generation all'indirizzo
https://go.microsoft.com/fwlink/?LinkID=85480 .
Quando una CA autonoma (Standalone) utilizza Servizi di dominio Active Directory, offre le funzionalità aggiuntive seguenti:
-
Se un membro del gruppo Domain Admins o un amministratore con accesso in scrittura a un controller di dominio installa una CA radice autonoma, questa viene aggiunta automaticamente all'elenco locale delle Autorità di certificazione radice per tutti gli utenti e i computer del dominio. Per questo motivo, se si installa una CA radice autonoma in un dominio di Active Directory, è consigliabile non modificare l'azione predefinita della CA alla ricezione di richieste di certificati (che pone le richieste in sospeso). In caso contrario, si avrà una CA radice attendibile che rilascia automaticamente certificati senza verificare l'identità del richiedente.
-
Se viene installata una CA autonoma (Standalone) da un membro del gruppo Domain Admins del dominio padre dell'organizzazione, oppure da un amministratore con accesso in scrittura a Servizi di dominio Active Directory, la CA autonoma pubblicherà il proprio certificato CA e l'elenco di revoche di certificati (CRL) in Servizi di dominio Active Directory.