憑證授權單位 (CA) 可接受憑證要求、根據 CA 的原則確認要求者的資訊,然後使用其私密金鑰將數位簽章套用至憑證。接著 CA 會將憑證發行至憑證主體,用來做為公開金鑰基礎結構 (PKI) 內的安全性認證。CA 同時也負責撤銷憑證和發行憑證撤銷清單 (CRL)。
CA 可以是外部實體 (例如 VeriSign),或是您透過安裝 Active Directory 憑證服務 (AD CS) 所建立供組織使用的 CA。每個 CA 對於憑證要求者都會有不同的識別證明需求,例如,網域帳戶、員工標記、驅動程式授權、公證的要求或實體位址。這類的識別檢查通常可保證現有的 CA,如此組織即可驗證自己的員工或成員。
Microsoft 企業 CA 使用個人的使用者帳戶認證做為識別證明。換句話說,如果您已登入網域,並要求來自企業 CA 的憑證,CA 便會根據您在 Active Directory 網域服務 (AD DS) 中的帳戶來驗證您的身分識別。
每個 CA 也有可確認自己身分識別的憑證,該憑證由其他受信任 CA 發行,或在根 CA 的情況下,由自己發行。請務必記住任何人都可以建立 CA。因此,使用者或系統管理員必須決定是否要信任該 CA,以及用來確認該 CA 發行之實體識別身分識別的 CA 原則和程序。
根和次級 CA
根 CA 應該是組織 PKI 中最受信任的 CA 類型。如果根 CA 遭到洩露或將憑證發行至未授權的實體,則組織中任何以憑證為依據的安全性都將變得易受攻擊。因此,根 CA 的實體安全性和憑證發行原則通常會比用於次級 CA 的那些原則更為嚴苛。雖然根 CA 可用於將憑證發行至使用者以進行像是傳送安全電子郵件這類工作,但在大部分的組織中,只會用它們將憑證發行至稱為次級 CA 的其他 CA。
次級 CA 是由組織中其他 CA 發行憑證的 CA。一般而言,次級 CA 將針對特定用法發行憑證,例如,保護電子郵件的安全、以網頁為基礎的驗證或智慧卡驗證。次級 CA 也可將憑證發行至其他更次級的 CA。將根 CA、已由根 CA 認證的次級 CA,以及已由其他次級 CA 認證的次級 CA 合併在一起,可形成一個憑證階層。
如需憑證階層的相關資訊,請參閱公開金鑰基礎結構。