Автономные центры сертификации могут выдавать сертификаты специального назначения, например для цифровых подписей, безопасной электронной почты с использованием S/MIME и авторизации на безопасных веб-серверах с помощью протоколов SSL или TLS.
Автономный центр сертификации обладает указанными ниже характеристиками:
-
В отличие от центра сертификации предприятия автономный центр сертификации не нуждается в использовании доменных служб Active Directory. Даже при использовании доменных служб Active Directory автономные центры сертификации могут применяться в качестве автономных корневых доверенных центров сертификации в иерархии центров сертификации или использоваться для выдачи сертификатов клиентам по экстрасети или Интернету.
-
При подаче заявки на сертификат в автономный центр сертификации пользователи должны предоставить сведения для проверки подлинности и указать тип необходимого сертификата. (Этого можно не делать при отправке запроса в центр сертификации предприятия, потому что сведения о пользователе предприятия уже содержатся в доменных службах Active Directory, а тип сертификата описан в шаблоне сертификата). Сведения для проверки подлинности при запросах берутся из базы данных диспетчера учетных записей безопасности на локальном компьютере.
-
По умолчанию все запросы на сертификаты, отправленные на автономный центр сертификации, помещаются в очередь до тех пор, пока администратор автономного центра сертификации не проверит отправленные данные и утвердит запрос. Администратор должен выполнять эти задачи, потому что учетные данные запрашивающей стороны не проверяются автономным центром сертификации.
-
Шаблоны сертификатов не используются.
-
Администратор должен явно передать сертификат автономного центра сертификации в доверенное корневое хранилище пользователя домена, или пользователи должны выполнить эту задачу самостоятельно.
-
Если используется поставщик служб шифрования, поддерживающий шифрование ECC, автономный центр сертификации будет поддерживать любое использование ключа ECC. Дополнительные сведения см. на веб-сайте, посвященном криптографии следующего поколения (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (может быть на английском языке).
При использовании автономным центром сертификации доменных служб Active Directory в центре сертификации появляются следующие функциональные возможности:
-
Если член группы администраторов домена или администратор с правом записи на контроллере домена устанавливает автономный корневой центр сертификации, этот центр автоматически добавляется в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене. По этой причине при установке автономного центра сертификации в домене Active Directory нельзя изменять действие центра сертификации по умолчанию при получении запросов на сертификаты (то есть помещение запросов в очередь). В противном случае этот центр станет доверенным корневым центром сертификации, который будет автоматически выдавать сертификаты без проверки подлинности запрашивающей стороны.
-
Если автономный центр сертификации установлен членом группы администраторов домена родительского домена в организации или администратором, имеющим право на запись в доменных службах Active Directory, автономный центр сертификации будет публиковать свой сертификат центра сертификации и список отзыва сертификатов в доменных службах Active Directory.