독립 실행형 CA(인증 기관)는 디지털 서명, S/MIME(Secure Multipurpose Internet Mail Extensions)를 사용한 보안 전자 메일, SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안)를 사용한 웹 서버 보안 등과 같은 용도의 인증서를 발급할 수 있습니다.
독립 실행형 CA에는 다음과 같은 특징이 있습니다.
-
엔터프라이즈 CA와는 달리 독립 실행형 CA의 경우에는 AD DS(Active Directory 도메인 서비스)를 사용하지 않아도 됩니다. AD DS를 사용하더라도 독립 실행형 CA는 CA 계층 구조에서 오프라인 신뢰할 수 있는 루트 CA로 사용되거나 인트라넷 또는 인터넷을 통해 클라이언트에 인증서를 발급할 수 있습니다.
-
독립 실행형 CA에 인증서 요청을 제출하는 사용자는 자신의 신원 정보를 제공하고 필요한 인증서 유형을 지정해야 합니다. 엔터프라이즈 사용자의 정보는 이미 AD DS에 있으며 인증서 유형은 인증서 템플릿으로 설명되기 때문에 엔터프라이즈 CA에 요청을 전송할 때는 이러한 작업을 하지 않아도 됩니다. 요청에 대한 인증 정보는 로컬 컴퓨터의 보안 계정 관리자 데이터베이스에서 가져옵니다.
-
기본적으로 독립 실행형 CA로 전송되는 모든 인증서 요청은 독립 실행형 CA의 관리자가 제출된 정보를 확인하고 요청을 승인할 때까지 보류 중으로 설정됩니다. 독립 실행형 CA에서 인증서 요청자의 자격 증명을 확인하지 않으므로 관리자가 이러한 작업을 수행해야 합니다.
-
인증서 템플릿이 사용되지 않습니다.
-
관리자가 독립 실행형 CA의 인증서를 도메인 사용자의 신뢰할 수 있는 루트 저장소에 명시적으로 배포하거나 사용자가 이 작업을 직접 수행해야 합니다.
-
ECC(Elliptic Curve Cryptography)를 지원하는 암호화 공급자를 사용하는 경우 독립 실행형 CA는 ECC 키에 대한 모든 키 사용을 승인합니다. 자세한 내용은 CNG(Cryptography Next Generation)(
https://go.microsoft.com/fwlink/?LinkID=85480(페이지는 영문일 수 있음) )를 참조하십시오.
독립 실행형 CA가 AD DS를 사용하는 경우 CA는 다음과 같은 추가적인 기능을 제공합니다.
-
Domain Admins 그룹의 구성원 또는 도메인 컨트롤러에 쓰기 권한이 있는 관리자가 독립 실행형 루트 CA를 설치하면 이 CA는 도메인의 모든 사용자 및 컴퓨터에 대한 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 자동으로 추가됩니다. 따라서 독립 실행형 루트 CA를 Active Directory 도메인에 설치하는 경우에는 인증서 요청 수신 시의 CA 기본 동작(요청을 보류 중으로 표시함)을 변경하지 말아야 합니다. 그렇지 않으면 신뢰할 수 있는 루트 CA가 인증서 요청자의 신원을 확인하지 않은 채 인증서를 자동으로 발급하게 됩니다.
-
엔터프라이즈에서 부모 도메인의 Domain Admins 그룹 구성원 또는 AD DS에 쓰기 권한이 있는 관리자가 독립 실행형 CA를 설치한 경우 독립 실행형 CA는 자체 CA 인증서 및 CRL(인증서 해지 목록)을 AD DS에 게시합니다.