独立证书颁发机构 (CA) 可以出于目的(如数字签名)颁发证书,它通过使用 S/MIME(安全多用途 Internet 邮件扩展)保证电子邮件的安全,并且通过使用安全套接字层 (SSL) 或传输层安全性 (TLS) 对安全 Web 服务器进行身份验证。
独立 CA 具有以下特征:
-
与企业 CA 不同,独立 CA 不需要使用 Active Directory 域服务 (AD DS)。即使使用 AD DS,也可以将独立 CA 用作 CA 层次结构中的脱机受信任根 CA 或通过 Extranet 或 Internet 向客户端颁发证书。
-
当用户向独立 CA 提交证书申请时,必须提供他们的身份信息并指定他们所需的证书类型。(当向企业 CA 提交申请时,不需要执行该操作,因为企业用户的信息已经位于 AD DS 中,并且证书类型已由证书模板描述)。从本地计算机的安全帐户管理器数据库中获取申请的身份验证信息。
-
默认情况下,发送到独立 CA 的所有证书申请都设置为挂起,直到独立 CA 的管理员验证所提交的信息并批准该申请。管理员必须执行这些任务,因为证书申请者的凭据没有经过独立 CA 的验证。
-
不使用证书模板。
-
管理员必须将独立 CA 的证书明确分发到域用户的受信任根存储,否则用户必须自己执行该任务。
-
如果使用支持椭圆曲线加密 (ECC) 的加密提供程序,则独立 CA 将允许使用 ECC 密钥中的每个密钥。有关详细信息,请参阅“下一代加密技术”(
https://go.microsoft.com/fwlink/?LinkID=85480 )(可能为英文网页)。
当独立 CA 使用 AD DS 时,该 CA 具有以下附加功能:
-
如果 Domain Admins 组的成员或对域控制器具有写入权限的管理员安装独立根 CA,则会自动将其添加到域中所有用户和计算机的“受信任的根证书颁发机构”证书存储中。因此,如果在 Active Directory 域中安装独立根 CA,则不应该更改接收证书申请时(将申请标记为挂起)CA 的默认操作。否则,受信任的根 CA 会自动颁发证书,而无需验证证书申请者的身份。
-
如果独立 CA 由企业中父域的 Domain Admins 组成员安装,或者由对 AD DS 具有写入权限的管理员安装,则独立 CA 将向 AD DS 发布其 CA 证书和证书吊销列表 (CRL)。