证书颁发机构 (CA) 接受证书申请,根据 CA 的策略验证申请者的信息,然后使用其私钥将其数字签名应用于证书。然后 CA 将证书颁发给证书的使用者,在公钥基础结构 (PKI) 内用作安全凭证。此外,CA 还负责吊销证书和发布证书吊销列表 (CRL)。
CA 可以是外部实体(如 VeriSign),也可以是通过安装 Active Directory 证书服务 (AD CS) 而创建的由组织使用的 CA。每个 CA 都要求证书申请者有明确的身份证明,如域帐户、员工的工作证、驾照、已确认的申请或物理地址。与此类似的身份检查通常可保证现场 CA,以便组织能够验证他们自己的员工或成员。
Microsoft 企业 CA 使用个人的用户帐户凭据作为身份证明。换句话说,如果您登录到一个域并申请企业 CA 的证书,则 CA 可以根据您在 Active Directory 域服务 (AD DS) 中的帐户对您的身份进行验证。
每个 CA 还有确认自己身份的证书,该证书由另一个受信任的 CA 颁发,如果是根 CA,则由自己颁发。重要的是记住,任何人都可以创建 CA。因此,用户或管理员必须决定是否信任该 CA,广义来说,该 CA 所拥有的策略和过程是否适合于确认由该 CA 颁发其证书的实体的身份。
根 CA 和从属 CA
根 CA 是指在组织的 PKI 中最受信任的 CA 类型。如果根 CA 被泄漏或向未经授权的实体颁发了证书,则组织中任何基于证书的安全性都变得易受攻击。因此,通常根 CA 的物理安全性和证书颁发策略都比从属 CA 更严格。虽然根 CA 可以就发送安全电子邮件这样的任务向最终用户颁发证书,但是在大多数组织中,它们只用于向其他 CA(称为从属 CA)颁发证书。
从属 CA 是由组织中的另一个 CA 颁发证书的 CA。通常,从属 CA 为特定用途(如安全的电子邮件、基于 Web 的身份验证或智能卡身份验证)颁发证书。从属 CA 还可以向其他更下级的从属 CA 颁发证书。根 CA、已由根验证的从属 CA 以及由其他从属 CA 验证的从属 CA 一起构成了证书层次结构。
有关证书层次结构的详细信息,请参阅公钥基础结构。