公開金鑰基礎結構 (PKI) 是數位憑證、憑證授權單位 (CA) 及登錄授權單位的系統,可確認與驗證每個使用公開金鑰加密涉及電子交易之實體的有效性。PKI 的標準仍在逐步形成,即使他們已廣泛實做為電子商務的必要元件。如需計劃 PKI 和使用公開金鑰加密的相關資訊,請參閱 Active Directory 憑證服務資源。
Microsoft PKI 支援可擴充的階層式 CA 模型,並提供日益增加之商業和其他 CA 產品的一致性。
憑證階層以其最簡單的形式以單一 CA 組成。不過,階層通常會包含數個 CA,並具備清楚定義的父系/子系關係。在此模型中,子系的次級 CA 是由其父系 CA 發行的憑證所檢定,可將 CA 的公開金鑰繫結至其身分識別。位於階層最上層的 CA 將以根 CA 的形式參照。根 CA 的子系 CA 稱為次級 CA。如需相關資訊,請參閱憑證授權單位的類型。
在 Windows 中,如果您信任根 CA (在您的「信任根憑證授權單位」憑證存放區中具有它的憑證),即會信任階層中具備有效 CA 憑證的每個次級 CA。因此,根 CA 是組織中非常重要的信任點,應隨時受到保護。如需相關資訊,請參閱 CA 憑證。
設定數個次級 CA 有幾個實務上的理由,包括:
-
使用方式。憑證可能是基於數種目的而發行,例如,保護電子郵件和網路驗證。適用於這些用法的發行原則可能不同,此分別可提供管理這些原則的基礎。
-
組織單位。用於發行憑證的原則可能不同,會依據組織中實體的角色而定。再次提醒,您可以建立次級 CA,以分隔及管理這些原則。
-
地理位置單位。組織可能會在數個實體站台擁有實體。這些站台間的網路連線可能會需要多個或所有站台的個別次級 CA。
-
負載平衡。如果您的 PKI 將用於發行和管理大量憑證,只有一個 CA 會對該單一 CA 造成大量的網路負載。使用多個次級 CA 來發行相同類型的憑證,可在 CA 間分散網路負載。
-
備份與容錯。多個 CA 可增加網路永遠有可用操作 CA 的可能性,以回應使用者要求。
CA 階層也可以提供系統管理的優點,包括:
-
CA 安全性環境的彈性設定,以量身訂作安全性與可用性之間的平衡。例如,您可以選擇在根 CA 上採用特殊目的之加密編譯硬體,以在實體安全區域或離線時操作它。基於成本或可用性的考量,對於次級 CA 而言,可能是不可接受的。
-
「關閉」CA 階層的特定部分,而不影響已建立之信任關係的能力。例如,您可以很輕易地關閉並撤銷與特定企業單位相關的發行 CA 憑證,且不影響組織的其他部分。