As CAs (autoridades de certificação) autônomas podem emitir certificados para finalidades como assinaturas digitais, email seguro usando S/MME (Secure Multipurpose Internet Mail Extensions) e autenticação para um servidor Web seguro usando SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).
Uma autoridade de certificação autônoma apresenta as características a seguir:
-
Ao contrário de uma autoridade de certificação corporativa, uma autoridade de certificação autônoma não requer o uso de AD DS (Serviços de Domínio do Active Directory). Mesmo se você estiver usando o AD DS, as autoridade de certificação autônomas podem ser usadas como autoridade de certificação raiz confiáveis offline em uma hierarquia de autoridade de certificação ou para emitir certificados para os clientes em uma extranet ou Internet.
-
Quando os usuários enviam uma solicitação de certificado a uma autoridade de certificação autônoma, devem apresentar as informações de identificação e especificar o tipo de certificado de que precisam. (Isso não precisa ser feito no envio de uma solicitação para uma autoridade de certificação corporativa, pois as informações do usuário corporativo já estão no AD DS e o tipo de certificado é descrito por um modelo de certificado). As informações de autenticação para solicitações são obtidas no banco de dados do Gerente de Contas de Segurança do computador local.
-
Por padrão, todas as solicitações de certificado enviadas para a CA autônoma são definidas como pendentes até o administrador da CA autônoma verificar as informações enviadas e aprovar a solicitação. Os administradores devem realizar essas tarefas, pois as credenciais do solicitador de certificado não são validadas pela CA autônoma.
-
Modelos de certificado não são usados.
-
O administrador deve distribuir explicitamente o certificado da CA autônoma para o armazenamento raiz confiável do usuário do domínio ou os próprios usuários devem realizar as tarefas.
-
Se um provedor criptográfico que tenha suporte para ECC (criptografia de curva elíptica) estiver sendo usado, uma CA autônoma honrará cada utilização de chave para a chave de ECC. Para obter mais informações sobre criptografia de última geração, consulte
https://go.microsoft.com/fwlink/?LinkID=85480 ) (essa página pode estar em inglês).
Quando uma CA autônoma usa AD DS, ela tem estes recursos adicionais:
-
Se um membro de um grupo Admins. do Domínio ou um administrador com acesso a gravação em um controlador de domínio instalar uma CA raiz autônoma, ela será automaticamente adicionada ao armazenamento Autoridades de Certificação Raiz Confiáveis para todos os usuários e computadores do domínio. Por esta razão, se você instalar uma CA raiz autônoma em um domínio do Active Directory, deverá alterar a ação padrão da CA no recebimento de solicitações de certificado (o que marca a solicitação como pendente). Caso contrário, você terma uma CA raiz confiável que emite certificados automaticamente sem verificar a identidade do solicitante de certificado.
-
Se uma CA autônoma tiver sido instalada por um membro do grupo Admins. de Domínio do domínio pai na empresa ou por um administrador com acesso de gravação a AD Ds, então a CA autônoma publicará seu certificado de CA e a CRL (lista de certificados revogados) no AD DS.