Lo snap-in Infrastruttura a chiave pubblica dell'organizzazione consente di verificare che tutti gli elementi seguenti in un'infrastruttura a chiave pubblica (PKI) siano funzionanti, disponibili e validi:
-
Autorità di certificazione (CA). Una CA accetta una richiesta di certificato, verifica le informazioni del richiedente in base al criterio della CA e infine utilizza la propria chiave privata per firmare il certificato. La CA rilascia quindi il certificato al soggetto richiedente, che potrà utilizzarlo come credenziale di sicurezza nell'ambito di una PKI. Una CA ha inoltre il compito di revocare i certificati e di pubblicare un elenco di revoche dei certificati (CRL).
-
Certificati CA. Un certificato CA è un certificato rilasciato da una CA a se stessa o a una seconda CA allo scopo di creare una relazione definita tra le due CA. Un certificato che viene rilasciato da una CA a se stessa è definito un certificato radice attendibile. I certificati CA sono fondamentali per poter definire il percorso di un certificato e le restrizioni relative all'utilizzo di tutti i certificati finali che sono stati rilasciati per essere utilizzati nella PKI.
-
Percorsi AIA. I percorsi AIA sono URL che vengono aggiunti a un certificato nella relativa estensione Accesso alle informazioni dell'autorità (AIA). Tali URL possono essere utilizzati da un'applicazione o da un servizio per recuperare il certificato della CA di emissione. Tali certificati CA vengono quindi utilizzati per convalidare la firma del certificato e per costruire il percorso di un certificato attendibile.
-
Elenchi CRL. Gli elenchi CRL sono elenchi completi, firmati digitalmente, di certificati non scaduti che sono stati revocati. I client possono recuperare un elenco CRL, memorizzarlo nella cache (in base alla durata configurata per l'elenco CRL) e utilizzarlo per verificare i certificati che vengono presentati.
-
Punti di distribuzione CRL. I punti di distribuzione CRL sono percorsi, in genere URL, che vengono aggiunti a un certificato nella relativa estensione Punti di distribuzione CRL. I punti di distribuzione CRL possono essere utilizzati da un'applicazione o da un servizio per recuperare un elenco CRL e vengono contattati quando un'applicazione o un servizio devono verificare se un certificato è stato revocato prima della scadenza del periodo di validità.
Lo snap-in Autorità di certificazione consente a un amministratore di monitorare e gestire questi elementi della PKI per una singola CA. In presenza di più di una CA, tuttavia, è necessario utilizzare istanze separate dello snap-in per monitorare e gestire una PKI. Lo snap-in Autorità di certificazione non può inoltre essere utilizzato per integrare CA non Microsoft nell'infrastruttura o per gestire in modo efficace i percorsi AIA e gli archivi dei punti di distribuzione CRL. Per risolvere questi problemi utilizzando un solo snap-in è pertanto possibile utilizzare lo snap-in Infrastruttura a chiave pubblica dell'organizzazione.
Per ulteriori informazioni sul modo in cui le Autorità di certificazione (CA), i certificati CA, i percorsi di Accesso alle informazioni dell'autorità (AIA), i punti di distribuzione CRL e gli elenchi CRL concorrono alla creazione di una gerarchia di trust a chiave pubblica, vedere la pagina relativa al funzionamento di Servizi certificati all'indirizzo
Ulteriori riferimenti
-
Panoramica di Infrastruttura a chiave pubblica dell'organizzazione
-
Pagina relativa a Servizi certificati Active Directory all'indirizzo
https://go.microsoft.com/fwlink/?LinkID=48545