Autonomiczne urzędy certyfikacji mogą wystawiać certyfikaty dla takich celów, jak podpisy cyfrowe, zabezpieczanie poczty e-mail przy użyciu aplikacji S/MIME (Secure Multipurpose Internet Mail Extensions) oraz uwierzytelnianie na bezpiecznym serwerze sieci Web przy użyciu protokołu SSL (Secure Sockets Layer) lub TLS (Transport Layer Security).

Autonomiczny urząd certyfikacji ma następujące właściwości:

  • Autonomiczny urząd certyfikacji - w odróżnieniu od urzędu certyfikacji przedsiębiorstwa - nie wymaga używania usług domenowych w usłudze Active Directory (AD DS). Nawet w przypadku korzystania z usług AD DS autonomiczne urzędy certyfikacji mogą być używane jako zaufane główne urzędy certyfikacji w trybie offline lub do wystawiania certyfikatów klientom w ekstranecie lub Internecie.

  • Przesyłając żądanie certyfikatu do autonomicznego urzędu certyfikacji, użytkownicy muszą podać swoje dane identyfikacyjne oraz określić typ potrzebnego certyfikatu. Nie trzeba tego robić w przypadku przesyłania żądania do urzędu certyfikacji przedsiębiorstwa, ponieważ informacje o użytkowniku w przedsiębiorstwie znajdują się już w usługach AD DS, a typ certyfikatu jest opisywany przez szablon certyfikatu. Informacje dotyczące uwierzytelniania żądań są uzyskiwane z bazy danych Menedżera kont zabezpieczeń komputera lokalnego.

  • Domyślnie wszystkie żądania certyfikatów wysłane do autonomicznego urzędu certyfikacji są oznaczane jako oczekujące, dopóki administrator autonomicznego urzędu certyfikacji nie sprawdzi przesłanych informacji i nie zatwierdzi żądania. Administrator musi wykonać te zadania, ponieważ poświadczenia jednostki żądającej certyfikatu nie są sprawdzane przez autonomiczny urząd certyfikacji.

  • Nie są używane szablony certyfikatów.

  • Administrator musi jawnie dystrybuować certyfikat autonomicznego urzędu certyfikacji do magazynu zaufanych głównych urzędów certyfikacji użytkownika domeny bądź zadanie to musi zostać wykonane przez samego użytkownika.

  • W przypadku korzystania z dostawcy usług kryptograficznych obsługującego kryptografię ECC (Elliptic Curve Cryptography) autonomiczny urząd certyfikacji honoruje każde użycie klucza ECC. Aby uzyskać więcej informacji, zobacz artykuł na temat kryptografii nowej generacji (https://go.microsoft.com/fwlink/?LinkID=85480) (strona może zostać wyświetlona w języku angielskim).

Gdy autonomiczny urząd certyfikacji używa usług AD DS, dostępne są następujące funkcje dodatkowe:

  • Jeśli członek grupy Administratorzy domeny lub administrator z uprawnieniami do zapisu na kontrolerze domeny instaluje autonomiczny główny urząd certyfikacji, urząd ten jest automatycznie dodawany do magazynu certyfikatów Zaufane główne urzędy certyfikacji dla wszystkich użytkowników i komputerów w domenie. Dlatego w przypadku instalowania autonomicznego głównego urzędu certyfikacji w domenie usługi Active Directory nie należy zmieniać domyślnego działania urzędu certyfikacji po otrzymaniu żądań certyfikatów (polegającego na oznaczaniu żądań jako oczekujących). W przeciwnym razie powstanie zaufany główny urząd certyfikacji, który będzie automatycznie wystawiał certyfikaty bez sprawdzania tożsamości jednostki żądającej certyfikatu.

  • Jeśli autonomiczny urząd certyfikacji jest instalowany przez członka grupy Administratorzy domeny w domenie nadrzędnej przedsiębiorstwa lub przez administratora z uprawnieniami do zapisu w usługach AD DS, autonomiczny urząd certyfikacji będzie publikował swój certyfikat urzędu certyfikacji oraz listę odwołania certyfikatów (CRL) w usługach AD DS.

Dodatkowe informacje


Spis treści