Met de Enterprise PKI-module kunt u ervoor zorgen dat de volgende elementen van een PKI (Public Key Infrastructure of openbare-sleutelinfrastructuur) goed werken, beschikbaar en geldig zijn:

  • Certificeringsinstanties (CA's). Een CA ontvangt certificaataanvragen, verifieert de gegevens van de aanvrager op basis van het beleid van de CA en gebruikt de bijbehorende persoonlijke sleutel om het certificaat te ondertekenen. De CA verleent het certificaat vervolgens aan de certificaathouder voor gebruik als beveiligingsreferentie binnen een PKI. Een CA is ook verantwoordelijk voor het intrekken van certificaten en het publiceren van een certificaatintrekkingslijst (CRL).

  • CA-certificaten. Een CA-certificaat is een certificaat dat een CA aan zichzelf verleent of aan een tweede CA voor het tot stand brengen van een gedefinieerde relatie tussen de twee CA's. Een certificaat dat een CA aan zichzelf verleent, wordt een vertrouwd basiscertificaat genoemd. CA-certificaten zijn van kritiek belang voor het definiëren van een certificaatpad en beperkingen op het gebruik van alle eindentiteitscertificaten voor gebruik binnen de PKI.

  • Toegangslocaties voor CA-gegevens. Toegangslocaties voor CA-gegevens zijn URL's die worden toegevoegd aan een certificaat in de uitbreiding Toegang tot CA-gegevens. Deze URL's kunnen door een toepassing of service worden gebruikt om het uitgegeven CA-certificaat op te halen. Deze CA-certificaten worden vervolgens gebruikt om de handtekening op het certificaat te valideren en om een pad samen te stellen naar een vertrouwd certificaat.

  • CRL's. CRL's zijn volledige, digitaal ondertekende lijsten met niet-verlopen certificaten die zijn ingetrokken. Deze CRL wordt opgehaald door clients, die de lijst in cache kunnen opslaan (op basis van de geconfigureerde levensduur van de CRL) en kunnen gebruiken om certificaten te verifiëren die voor gebruik worden aangeboden.

  • CRL-distributiepunten: CRL-distributiesystemen zijn locaties, meestal URL´s, die aan een certificaat worden toegevoegd in de uitbreiding voor CRL-distributiepunten. CRL-distributiepunten kunnen door een toepassing of service worden gebruikt voor het ophalen van een CRL. Er wordt contact opgenomen met een CRL-distributiepunt als een toepassing of service moet vaststellen of een certificaat is ingetrokken voordat de geldigheidsperiode is verlopen.

Met behulp van de module Certificeringsinstantie kan een beheerder deze PKI-elementen voor één CA bewaken en beheren. Er moeten echter afzonderlijke instanties van de module worden gebruikt voor het bewaken en beheren van een PKI als hiervoor meer dan één CA wordt gebruikt. Daarnaast kan de module Certificeringsinstantie niet worden gebruikt om niet-Microsoft-CA's in de infrastructuur te integreren en evenmin voor het beheer van de toegangslocaties tot CA-gegevens en opslagplaatsen met CRL-distributiepunten. U kunt de Enterprise PKI-module gebruiken om deze problemen vanuit één module op te lossen.

Zie het onderwerp over Certificate Services (https://go.microsoft.com/fwlink/?LinkID=88045) voor meer informatie over de manier waarop CA's, CA-certificaten, toegangslocaties voor CA-gegevens, CRL-distributiepunten en CRL's samenwerken en een vertrouwenshiërarchie vormen voor openbare sleutels. (Deze pagina is mogelijk Engelstalig.)

Extra naslaginformatie