“企业 PKI”管理单元可用于确保公钥基础结构 (PKI) 中的以下所有元素正常发挥作用、可用且有效:
-
证书颁发机构 (CA)。CA 接受证书申请,按照 CA 的策略验证申请人的信息,然后使用其私钥对证书进行签名。随后,CA 会将证书颁发给证书使用者,在 PKI 内部用作安全凭据。此外,CA 还负责吊销证书并发布证书吊销列表 (CRL)。
-
CA 证书。CA 证书是由一个 CA 颁发给自己或第二个 CA 的证书,目的是创建两个 CA 之间已定义的关系。由 CA 颁发给自己的证书称为受信任的根证书。对于为在 PKI 中使用而颁发的所有最终实体证书定义证书路径和使用限制,CA 证书至关重要。
-
颁发机构信息访问位置。颁发机构信息访问位置是向颁发机构信息访问扩展的证书中添加的 URL。应用程序或服务可以使用这些 URL 来检索即将颁发的 CA 证书。随后,将使用这些 CA 证书验证证书签名,并生成指向受信任证书的路径。
-
CRL。CRL 是已吊销的未过期证书的完整的数字签名列表。此 CRL 由随后缓存 CRL(根据已配置的 CRL 生存期)并使用它验证可使用的证书的客户进行检索。
-
CRL 分发点。CRL 分发点是向 CRL 分发点扩展的证书中添加的位置,通常为 URL。应用程序或服务可以使用这些 CRL 分发点来检索 CRL。当应用程序或服务必须确定在证书有效期到期之前是否吊销证书时,就会到达 CRL 分发点。
管理员可借助“证书颁发机构”管理单元针对单个 CA 监视并管理这些 PKI 元素。但是,如果涉及多个 CA,则需要使用该管理单元的不同实例来监视和管理 PKI。此外,“证书颁发机构”管理单元不能用于将非 Microsoft CA 集成到基础结构中,也不能用于方便地管理颁发机构信息访问位置和 CRL 分发点存储。因此,可以使用“企业 PKI”管理单元从单个管理单元中解决这些问题。
有关 CA、CA 证书、颁发机构信息访问位置、CRL 分发点和 CRL 如何协同工作创建公钥信任层次结构的详细信息,请参阅“证书服务工作原理”(
其他参考
-
企业 PKI 概述
-
Active Directory 证书服务 (
https://go.microsoft.com/fwlink/?LinkID=48545 )(可能为英文网页)