En PKI-infrastruktur (public key infrastructure) är ett system med digitala certifikat, certifikatutfärdare (CA) och registreringsbehörigheter som verifierar och autentiserar giltigheten för varje entitet som ingår i en elektronisk transaktion som använder kryptering med offentliga nycklar. Standarden för PKI utvecklas fortfarande men offentliga nycklar implementeras som ett nödvändigt element i elektronisk handel. Mer information finns i Resurser för Active Directory-certifikattjänster.
Microsoft PKI stöder en hierarkisk CA-modell som är skalbar och som ger enhetlighet med ett ökande antal kommersiella och andra CA-produkter.
I sin enklaste form består en certifieringshierarki av en enda certifikatutfärdare. En hierarki innehåller ofta flera certifikatutfärdare med klara relationer mellan överordnad och underordnad. I den här modellen certifieras underordnade certifikatutfärdare av den överordnade certifikatutfärdaren som binder en offentlig nyckel till sin identitet. Den certifikatutfärdare som är längs upp i hierarkin kallas rotcertifikatutfärdare. Certifikatutfärdaren under rotcertifikatutfärdaren kallas underordnad certifikatutfärdare. Mer information finns i Typer av certifikatutfärdare.
Om du i Windows litar på en rotcertifikatutfärdare (genom att ha dess certifikat i certifikatarkivet Betrodda rotcertifikatutfärdare) så litar du på alla underordnade certifikatutfärdare som har ett giltigt utfärdarcertifikat i hierarkin. Därför är en rotcertifikatutfärdare en mycket viktig förtroendepunkt i en organisation och bör säkras i enlighet med det. Mer information finns i Certifikatutfärdarcertifikat.
Det finns flera praktiska orsaker till att konfigurera fler underordnade certifikatutfärdare:
-
Användning. Ett certifikat kan utfärdas för en mängd olika syften, till exempel säker e-post och nätverksautentisering. Utfärdandeprincipen för sådan användning kan vara begränsad och delning utgör en bas för administration av principerna.
-
Organisationsenheter. Det kan finnas olika principer för utfärdande av certifikat, beroende på en entitets roll i organisationen. Du kan skapa underordnade certifikatutfärdare för att särskilja och administrera dessa principer.
-
Geografiska enheter. Organisationer kan ha entiteter på flera fysiska platser. Nätverksanslutningen mellan platserna kan kräva individuella underordnade certifikatutfärdare för många eller alla platser.
-
Lastbalansering. Om PKI ska användas för att utfärda och hantera ett stort antal certifikat och du endast har en certifikatutfärdare, kan det resultera i hög nätverksbelastning. Om du använder flera underordnade certifikatutfärdare för att utfärda samma typ av certifikat delas nätverkslasten upp mellan certifikatutfärdarna.
-
Säkerhetskopiering och feltolerans. Flera certifikatutfärdare ökar möjligheten att nätverket alltid har fungerande certifikatutfärdare som svarar på användarnas begäran.
En CA-hierarki kan också ge administrativa fördelar, t.ex. följande:
-
Flexibel konfiguration av CA-säkerhetsmiljön för att anpassa balansen mellan säkerhet och användbarhet. Du kan till exempel välja att använda maskinvara för speciella krypteringssyften för en rotcertifikatutfärdare och använda den på en fysiskt säker plats eller offline. Det kan vara oacceptabelt för underordnade certifikatutfärdare, av kostnads- eller användningsskäl.
-
Möjligheten att "stänga av" en specifik del av CA-hierarkin utan att det påverkar etablerade betrodda relationer. Du kan till exempel lätt stänga av och återkalla ett utfärdande CA-certifikat som är kopplat till en specifik affärsenhet utan att det påverkar andra delar av organisationen.