Центр сертификации принимает запросы на сертификаты, проверяет соответствие сведений о запрашивающей стороне политике центра сертификации, затем использует закрытый ключ для применения собственной цифровой подписи к сертификатам. Затем центр сертификации выдает сертификаты запросившим их субъектам для использования этих сертификатов в качестве учетных данных безопасности в инфраструктуре открытого ключа. Центр сертификации также служит для отзыва сертификатов и публикации списка отзыва сертификатов.
Центр сертификации может быть внешним, например VeriSign, или может быть создан для нужд организации посредством установки службы сертификатов Active Directory. Каждый центр сертификации может иметь особые требования к доказательству подлинности стороны, запрашивающей сертификат, такие как учетные записи доменов, наличие пропуска сотрудника, водительских прав, нотариально заверенного запроса или физического адреса. Подобные проверки идентификации служат основанием для создания внутреннего центра сертификации, с помощью которого организации могли бы проверять собственных сотрудников или членов.
В центрах сертификации предприятия, поддерживаемых корпорацией Майкрософт, в качестве доказательства подлинности используются данные учетной записи пользователя. Другими словами, если подключенный к домену пользователь запрашивает сертификат от центра сертификации предприятия, этот центр сертификации может проверить подлинность этого пользователя, основываясь на учетной записи в доменных службах Active Directory.
Каждый центр сертификации также имеет сертификат для подтверждения собственной подлинности, который был выдан другим доверенным центром сертификации или, как в случае корневого центра сертификации, выдан самому себе. Важно запомнить, что любой пользователь может создать центр сертификации. Поэтому пользователь или администратор должен решить, следует ли доверять такому центру сертификации, а также определить политики и процедуры, которые будут использоваться центром сертификации для подтверждения подлинности объектам, которым этот центр сертификации выдает сертификаты.
Корневые и подчиненные центры сертификации
Корневой центр сертификации – это наиболее доверенный тип центра сертификации в инфраструктуре открытого ключа организации. Если корневой центр сертификации будет скомпрометирован или выдаст сертификат неавторизованному объекту, безопасность организации, основанная на использовании сертификатов, становится уязвимой. Поэтому физическая безопасность и политика выдачи сертификатов в корневом центре сертификации, как правило, является более строгой, чем на подчиненных центрах сертификации. Хотя корневые центры сертификации можно использовать для выдачи сертификатов конечным пользователям для таких целей, как отправка безопасных сообщений электронной почты, в большинстве организаций эти центры используются только для выдачи сертификатов другим центрам сертификации, которые называются подчиненными центрами сертификации.
Подчиненный центр сертификации – это центр сертификации, которому был выдан сертификат другим центром сертификации в организации. Как правило, подчиненный центр сертификации будет выдавать сертификаты для определенных целей, например для обмена безопасными сообщениями электронной почты, проверки подлинности в сети Интернет или проверки подлинности с помощью смарт-карт. Подчиненные центры сертификации также могут выдавать сертификаты собственным подчиненным центрам сертификации. Корневой центр сертификации, подчиненные центры сертификации, получившие сертификаты от корневого центра, и подчиненные центры сертификации, получившие сертификаты от других подчиненных центров вместе образуют иерархию сертификации.
Дополнительные сведения об иерархиях сертификации см. в разделе Инфраструктуры открытых ключей.
Автономные центры сертификации и центры сертификации предприятия
В этой версии служб сертификатов Active Directory поддерживается установка автономных центров сертификации и центров сертификации предприятия. Сведения о рабочих характеристиках центров сертификации предприятия и автономных центров сертификации см. в разделах Центры сертификации предприятия и Автономные центры сертификации.