CA(인증 기관)에서는 인증서 요청을 받고 CA 정책에 따라 요청자의 정보를 확인한 다음 개인 키를 사용하여 인증서에 디지털 설명을 적용합니다. 그런 다음 PKI(공개 키 인프라)에서 보안 자격 증명으로 사용하도록 인증서 주체에게 인증서를 발급합니다. 또한 CA는 인증서를 해지하고 CRL(인증서 해지 목록)을 게시해야 합니다.
CA는 VeriSign과 같은 외부 엔터티일 수 있으며 AD CS(Active Directory 인증서 서비스)를 설치하여 조직에서 사용하기 위해 만든 CA일 수 있습니다. 각 CA마다 도메인 계정, 직원 배지, 운전면허증, 인증된 요청 또는 실제 주소 등과 같은 서로 다른 신원 확인 증명을 요구할 수 있습니다. 조직이 직원 또는 구성원을 확인할 수 있도록 자체 CA를 통해 이와 같은 신원 확인을 수행하기도 합니다.
Microsoft 엔터프라이즈 CA는 개인의 사용자 계정 자격 증명을 신원 확인 증명으로 사용합니다. 즉, 도메인에 로그온하여 엔터프라이즈 CA의 인증서를 요청하면 CA는 AD DS(Active Directory 도메인 서비스)의 계정을 기반으로 사용자의 신원을 인증할 수 있습니다.
모든 CA에는 신뢰할 수 있는 다른 CA에서 발급되었거나 루트 CA의 경우에는 직접 발급한 인증서가 있어서 이를 통해 자체 신원을 증명합니다. CA는 모든 사람이 만들 수 있음을 기억하는 것이 중요합니다. 따라서 사용자 또는 관리자는 CA 및 해당 CA에서 인증서를 발급한 엔터티의 신원을 확인하기 위해 CA가 사용하는 정책과 절차를 신뢰할 것인지 여부를 결정해야 합니다.
루트 CA 및 하위 CA
루트 CA는 조직 PKI에서 가장 신뢰할 수 있는 CA 유형입니다. 루트 CA가 손상되거나 권한 없는 엔터티에 인증서를 발급하면 조직의 모든 인증서 기반 보안이 취약해집니다. 따라서 일반적으로 루트 CA의 물리적 보안과 인증서 발급 정책은 하위 CA보다 엄격합니다. 보안 전자 메일 보내기와 같은 작업에 대해 최종 사용자에게 인증서를 발급하는 데 루트 CA를 사용할 수도 있지만 대부분의 조직에서는 하위 CA라고 하는 다른 CA에 인증서를 발급하는 용도로만 루트 CA를 사용합니다.
하위 CA는 조직의 다른 CA가 인증서를 발급한 CA입니다. 일반적으로 하위 CA는 보안 전자 메일, 웹 기반 인증 또는 스마트 카드 인증과 같은 특정 용도로 인증서를 발급합니다. 하위 CA는 더 하위에 있는 다른 CA에 인증서를 발급할 수도 있습니다. 루트 CA, 루트에 의해 인증된 하위 CA 및 다른 하위 CA에서 인증된 하위 CA로 인증서 계층 구조가 형성됩니다.
인증서 계층 구조에 대한 자세한 내용은 공개 키 인프라를 참조하십시오.
엔터프라이즈 CA 및 독립 실행형 CA
이 버전의 AD CS에서는 독립 실행형 CA와 엔터프라이즈 CA의 설치를 지원합니다. 엔터프라이즈 CA와 독립 실행형 CA의 작동상 특징에 대한 자세한 내용은 엔터프라이즈 인증 기관 및 독립 실행형 인증 기관을 참조하십시오.