Tek başına sertifika yetkilileri (CA); dijital imzalar, S/MIME (Güvenli/Çok Amaçlı Internet Posta Uzantıları) kullanarak e-posta güvenliğini sağlama, Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) kullanarak güvenli bir Web sunucusuna kimlik doğrulaması yapma gibi amaçlarla sertifika yayımlayabilir.
Tek başına CA'lar aşağıdaki özelliklere sahiptir:
-
Kuruluş CA'larının aksine tek başına CA'lar, Active Directory Etki Alanı Hizmetleri'ni (AD DS) kullanmayı gerektirmez. AD DS kullanıyor olsanız bile, tek başına CA'lar CA hiyerarşisinde yalnızca çevrimdışı güvenilen kök CA'lar olarak veya istemcilere bir extranet veya Internet üzerinden sertifika vermek için kullanılabilir.
-
Kullanıcılar tek başına bir CA'ya sertifika isteği gönderdiğinde, kendilerini tanımlayan bilgileri sağlamaları ve gereksinim duydukları sertifikanın türünü belirtmeleri gerekir. (Kuruluş CA'larına istek gönderilirken bunların yapılmasına gerek yoktur; çünkü, kuruluş kullanıcılarının bilgileri zaten AD DS'de bulunmaktadır ve sertifika türü de bir sertifika şablonuyla belirtilmiştir). İsteklerle ilgili kimlik doğrulama bilgileri yerel bilgisayarın Güvenlik Hesapları Yöneticisi veritabanından alınır.
-
Varsayılan olarak, tek başına CA'ya gönderilen tüm sertifika istekleri, tek başına CA'nın yöneticisi gönderilen bilgileri doğrulayıp isteği onaylayana kadar beklemeye alınır. Sertifika isteyenin kimlik bilgileri tek başına CA tarafından doğrulanmadığı için, yöneticinin bu görevleri gerçekleştirmesi gerekir.
-
Sertifika şablonları kullanılmaz.
-
Yöneticinin, tek başına CA'nın sertifikasını etki alanı kullanıcısının güvenilen kök deposuna kesin şekilde dağıtması ya da kullanıcıların bu görevleri kendilerinin yapması gerekir.
-
Eliptik eğri şifrelemeyi (ECC) destekleyen bir şifreleme sağlayıcısı kullanılırsa, tek başına CA, ECC anahtarı için her anahtar kullanımından yararlanır. Daha fazla bilgi için bkz. Cryptography Next Generation (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (Bu sayfa İngilizce içeriğe sahip olabilir).
Tek başına bir CA, AD DS kullanırsa, CA aşağıdaki ek özelliklere sahip olur:
-
Domain Admins grubunun bir üyesi veya etki alanı denetleyicisine Yazma erişime sahip bir yönetici tek başına bir kök CA yüklerse, otomatik olarak etki alanındaki tüm kullanıcı ve bilgisayarlar için Güvenilen Kök Sertifika Yetkilileri sertifika deposuna eklenir. Bu nedenle, bir Active Directory etki alanına tek başına bir kök CA yüklerseniz, sertifika istekleri alındığında CA tarafından gerçekleştirilecek varsayılan eylemi değiştirmemeniz gerekir (bu eylem, istekleri beklemede olarak işaretleme eylemidir). Aksi takdirde, sertifika isteyenin kimliğini doğrulamadan otomatik olarak sertifikalar veren bir güvenilen kök CA'nız olur.
-
Kuruluştaki üst etki alanının Domain Admins grubunun bir üyesi veya AD DS'ya Yazma erişime sahip bir yönetici tarafından tek başına CA yüklenirse, bu tek başına CA kendi CA sertifikasını ve sertifika iptal listesini (CRL) AD DS'ye yayımlar.