En certifikatutfärdare godkänner en certifikatbegäran, verifierar informationen om den som begär certifikatet enligt certifikatutfärdarens principer och använder sedan den privata nyckeln för att signera certifikatet digitalt. Certifikatutfärdaren utfärdar certifikatet till certifikatanvändaren för att det ska användas som säkerhetsuppgifter i en PKI (public key infrastructure). En certifikatutfärdare är också ansvarig för att återkalla certifikat och publicera en lista över återkallade certifikat.
En certifikatutfärdare kan finnas utanför en entitet, t.ex. VeriSign, eller vara en certifikatutfärdare som organisationen ska använda för Active Directory-certifikattjänster. Varje certifikatutfärdare kan ha distinkta identitetskrav för de som begär certifikat, t.ex. ett domänkonto, företagslegitimation, körkort, attestbegäran eller fysisk adress. Identitetskontroller som denna garanterar ofta att en intern certifikatutfärdare är betrodd och organisationen kan verifiera de egna anställda eller medlemmarna.
I Microsofts företagscertifikatutfärdare används personens användarkontouppgifter som identitetsbevis. Det betyder att om du är inloggad i en domän och begär ett certifikat från en företagscertifikatutfärdare kan certifikatutfärdaren verifiera din identitet utifrån kontot i AD DS (Active Directory Domain Services).
Varje certifikatutfärdare måste också ha ett certifikat som bekräftar den egna identiteten. Det certifikatet utfärdas av en annan betrodd certifikatutfärdare eller av sig själv om det är en rotcertifikatutfärdare. Det är viktigt att komma ihåg att alla kan skapa en certifikatutfärdare. Därför måste en användare eller administratör bestämma om det går att lita på certifikatutfärdaren och de principer och procedurer som certifikatutfärdaren använder för att bekräfta identiteten för de certifikat som har utfärdats.
Rot- och underordnade certifikatutfärdare
En rotcertifikatutfärdare ska vara den mest betrodda typen av certifikatutfärdare i en organisations PKI. Om rotcertifikatutfärdaren komprometteras eller utfärdar ett certifikat till en obehörig entitet blir den certifikatbaserade säkerheten i organisationen sårbar. Därför är både den fysiska säkerheten och certifikatprinciperna för en rotcertifikatutfärdare mycket mer omfattande än för underordnade certifikatutfärdare. Fastän rotcertifikatutfärdare kan användas för att utfärda certifikat för slutanvändare för t.ex. säker e-post, används de i de flesta organisationer för att utfärda certifikat till andra, underordnade certifikatutfärdare.
En underordnad certifikatutfärdare är en certifikatutfärdare som fått ett certifikat som har utfärdats av en annan certifikatutfärdare i organisationen. En underordnad certifikatutfärdare används vanligen för att utfärda certifikat för vissa användningsområden, t.ex. säker e-post, webbaserad autentisering och smartkortsautentisering. Underordnade certifikatutfärdare kan även utfärda certifikat till andra mer underordnade certifikatutfärdare. Rotcertifikatutfärdare, underordnade certifikatutfärdare som har certifierats av rotcertifikatutfärdaren samt underordnade certifikatutfärdare som har certifierats av andra underordnade certifikatutfärdare bildar tillsammans en certifieringshierarki.
Mer information om certifieringshierarkier finns i Infrastrukturerna för offentliga nycklar (PKI).
Företags- och fristående certifikatutfärdare.
Den här versionen av Active Directory-certifikattjänster innehåller funktioner för installation av fristående certifikatutfärdare och företagscertifikatutfärdare. Mer information om hur de fungerar finns i Företagscertifikatutfärdare och Fristående certifikatutfärdare.