Bir sertifika yetkilisi (CA) sertifika isteğini kabul eder, CA ilkesine uygun olarak istek sahibinin bilgilerini doğrular ve sertifikaya dijital imzasını uygulamak için özel anahtarını kullanır. CA daha sonra ortak anahtar altyapısı (PKI) içinde güvenlik kimlik bilgisi olarak kullanmak için sertifikayı sertifika sahibine verir. CA ayrıca sertifikaları iptal etmekten ve bir sertifika iptal listesi (CRL) yayımlamaktan da sorumludur.
Bir CA, VeriSign gibi dışarıdan bir varlık olabilir veya kuruluşunuzda kullanılmak üzere Active Directory Sertifika Hizmetleri'ni (AD CS) yükleyerek sizin oluşturduğunuz bir CA olabilir. Sertifika isteyenler için her CA'nın ayrı kimlik kanıtlama gereklilikleri (etki alanı hesabı, çalışan simgesi, sürücü belgesi, onaylı istek veya fiziksel adres vb.) olabilir. Bunun gibi kimlik denetimleri, kuruluşların kendi çalışanlarını veya üyelerini doğrulayabilmesi genellikle yerinde bir CA'ya izin verir.
Microsoft kuruluş CA'ları kimlik kanıtı olarak kişilerin kullanıcı hesabı kimlik bilgilerini kullanır. Başka bir deyişle, bir etki alanında oturum açmış durumdayken bir kuruluş CA'sından sertifika isterseniz, CA, Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) hesabınıza dayalı olarak kimliğinizi doğrulayabilir.
Her CA'nın ayrıca kendi kimliğini doğrulamaya yarayan, güvenilen başka bir CA tarafından verilen veya kök CA'lar söz konusu olduğunda kendisinin verdiği bir sertifikası da vardır. Herkesin CA oluşturabileceğini unutmamalısınız. Bu nedenle, kullanıcı veya yöneticilerin söz konusu CA'ya ve hatta bu CA tarafından sertifika verilen varlıkların kimliğini doğrulamak için uygulamaya koyduğu ilke ve yordamlara güvenip güvenmeme kararını vermelidir.
Kök ve alt CA'lar
Kök CA bir kuruluşun PKI'sinde en çok güvenilen CA türü anlamına gelir. Kök CA tehlikeyle karşılaşır veya yetkisiz bir varlığa sertifika verirse, kuruluşunuzdaki sertifika tabanlı tüm güvenlik unsurları saldırıya açık duruma gelir. Bu nedenle, bir kök CA'nın fiziksel güvenliği ve sertifika verme ilkesi normalde alt CA'lara göre sıkıdır. Kök CA'lar güvenli e-posta gönderme gibi görevler için son kullanıcılara verilebilmekle birlikte, çoğu kuruluşta yalnızca alt CA adı verilen başka CA'lara sertifika vermek için kullanılırlar.
Alt CA, kuruluşunuzdaki başka bir CA tarafından kendisine sertifika verilen CA'dır. Tipik olarak bir alt CA, güvenli e-posta, Web tabanlı kimlik doğrulama veya akıllı kart kimlik doğrulaması gibi belirli kullanımlar için sertifikalar verir. Alt CA'lar daha altta yer alan başka CA'lara da sertifika verebilir. Böylece, bir kök CA, kök tarafından sertifika verilen alt CA'lar ve diğer alt CA'lar tarafından sertifika verilen alt CA'lar birlikte bir sertifika hiyerarşisi oluştururlar.
Sertifika hiyerarşileri hakkında daha fazla bilgi için bkz. Genel Anahtar Altyapıları.
Kuruluş ve tek başına CA'lar
AD CS'nin bu sürümü tek başına CA'lar ve kuruluş CA'ları yüklemeyi destekler. Kuruluş CA'larının ve tek başına CA'ların çalışma özellikleri hakkında bilgi için bkz. Kuruluş Sertifika Yetkilileri ve Tek Başına Sertifika Yetkilileri.