証明機関 (CA) は、証明書要求を受け取り、CA のポリシーに基づいて要求者の情報を確認してから、その秘密キーを使用して証明書にデジタル署名を適用します。次に CA は、証明書のサブジェクトが公開キー基盤 (PKI) 内のセキュリティ資格情報として使用する証明書を発行します。CA は、証明書の取り消しと証明書失効リスト (CRL) の公開も行います。
CA には、VeriSign のような外部の企業を使用することも、Active Directory 証明書サービス (AD CS) をインストールして組織用に作成した CA を使用することもできます。各 CA は、証明書の要求者に対する明確な身元証明の要件を設定できます。この要件には、ドメイン アカウント、従業員バッジ、運転免許証、公証された要求、物理的な住所などがあります。このような身元確認では、組織が従業員やメンバーを確認できるように、オンサイト CA が是認されることがよくあります。
Microsoft エンタープライズ CA では、身元の証明としてユーザー アカウント資格情報が使用されます。つまり、ドメインにログオンしてエンタープライズ CA に証明書を要求すると、CA は Active Directory ドメイン サービス (AD DS) でのアカウントに基づいてユーザーの身元を認証できます。
どの CA も、その CA 自体の身元を確認する証明書を持っています。これは、別の信頼された CA によって、またはルート CA の場合はその CA 自体によって発行されたものです。CA はだれでも作成できることを忘れないでください。このためユーザーまたは管理者は、CA を信頼するかどうか、さらには、その CA から証明書を発行されるエンティティの身元を確認するために CA が設定しているポリシーと手続きを信頼するかどうかを決定する必要があります。
ルート CA と下位の CA
ルート CA とは、組織の PKI において最も信頼される種類の CA を意味します。ルート CA が危害を受けたり、権限のないエンティティに証明書を発行したりすると、組織において証明書ベースのセキュリティが脆弱になります。このため、一般にルート CA の物理的なセキュリティと証明書発行ポリシーは、下位 CA のものより厳しくなっています。ルート CA は、セキュリティで保護された電子メールの送信などのタスクのためにエンド ユーザーに証明書を発行する目的で使用できますが、ほとんどの組織では、下位の CA と呼ばれる他の CA に証明書を発行するためにのみルート CA が使われています。
下位の CA とは、組織内の別の CA から証明書が発行されている CA です。通常下位の CA は、セキュリティで保護された電子メール、Web ベースの認証、スマート カード認証などの具体的な用途のために証明書を発行します。また、より下位にある他の CA に証明書を発行することもできます。ルート CA、ルートによって証明されている下位の CA、および別の下位の CA によって証明されている下位の CA により、証明階層が形成されます。
証明階層の詳細については、「公開キー基盤」を参照してください。
エンタープライズ CA とスタンドアロン CA
このバージョンの AD CS は、スタンドアロン CA とエンタープライズ CA のインストールをサポートしています。エンタープライズ CA とスタンドアロン CA の運用上の特性については、「エンタープライズ証明機関」および「スタンドアロン証明機関」を参照してください。