Uma autoridade de certificação (AC) aceita um pedido de certificado, verifica a informação do requerente de acordo com a política da AC e, em seguida, utiliza a sua chave privada para aplicar a respectiva assinatura digital ao certificado. A AC emite em seguida o certificado para o requerente para este utilizar como credencial de segurança numa infra-estrutura de chave pública (PKI). A AC também é responsável pela revogação de certificados e publicação de uma lista de revogação de certificados (CRL).
Uma AC pode ser uma entidade externa, tal como a VeriSign, ou pode ser uma AC criada para utilização na organização ao instalar os Serviços de Certificados do Active Directory (AD CS). Cada AC pode ter requisitos de prova de identidade distintos para requerentes de certificados, tais como a conta de domínio, distintivo do funcionário, carta de condução, pedido notarial ou a morada. As verificações de identidade deste tipo utilizam frequentemente uma AC no local, para que as organizações possam validar os respectivos funcionários ou membros.
As ACs empresariais da Microsoft utilizam as credenciais de conta de utilizador do indivíduo como prova de identidade. Por outras palavras, se tiver sessão iniciada num domínio e solicitar um certificado de uma AC empresarial, a AC pode autenticar a sua identidade com base na sua conta nos Serviços de Domínio do Active Directory (AD DS).
Cada AC tem também um certificado para confirmar a sua própria identidade, emitido por outra AC fidedigna, no caso de ACs raiz, emitido pelas próprias. É importante lembrar que qualquer pessoa pode criar uma AC. Assim, um utilizador ou administrador tem de decidir se confia nessa AC e, por extensão, as políticas e procedimentos que a AC tiver estabelecido para confirmar a identidade das entidades com certificados emitidos por essa AC.
ACs raiz e subordinadas
Uma AC raiz é o tipo de AC mais fidedigno na PKI de uma organização. Se a AC raiz ficar comprometida ou emitir um certificado para uma entidade não autorizada, então qualquer segurança baseada em certificados na sua organização torna-se vulnerável. Assim, tanto a segurança física e a política de emissão de certificados de uma AC raiz são normalmente mais rigorosas do que as das ACs subordinadas. Enquanto as ACs raiz podem ser utilizadas para emitir certificados para utilizadores finais, para tarefas tais como o envio de correio electrónico seguro, na maior parte das organizações só serão utilizadas para emitir certificados para outras ACs, com o nome ACs subordinadas.
Uma AC subordinada é uma AC com um certificado emitido por outra AC na organização do utilizador. Normalmente, uma AC subordinada vai emitir certificados para utilizações específicas, tais como correio electrónico seguro, autenticação baseada na Web ou autenticação de smart cards. As ACs subordinadas podem também emitir certificados para outras ACs que sejam mais subordinadas. Em conjunto, uma AC raiz, as ACs subordinadas certificadas pela raiz e as ACs subordinadas que foram certificadas por outras ACs subordinadas formam uma hierarquia de certificação.
Para mais informações sobre hierarquias de certificação, consulte Infra-Estruturas de Chaves Públicas.
ACs empresariais e autónomas
Esta versão do AD CS suporta a instalação de ACs empresariais e ACs autónomas. Para obter informações sobre as características operacionais de ACs empresariais e ACs autónomas, consulte Autoridades de Certificação Empresariais e Autoridades de Certificação Autónomas.