[企業 PKI] 嵌入式管理單元是用來確保公開金鑰基礎結構 (PKI) 中下列所有元素的運作正常、可以使用而且有效:
-
憑證授權單位 (CA)。CA 接受憑證要求,並根據 CA 的原則驗證要求者的資訊,然後使用它的私密金鑰來簽署憑證。CA 接著會將憑證發給憑證主體,以當成 PKI 內的安全性認證。CA 同時也負責撤銷憑證和發行憑證撤銷清單 (CRL)。
-
CA 憑證。CA 憑證是 CA 發給它自己或第二個 CA 的憑證,目的是用來建立兩個 CA 之間的已定義關係,CA 發給它自己的憑證稱為信任的根憑證。如果要針對發出在 PKI 中使用的所有終端實體憑證定義憑證路徑和使用限制,則 CA 憑證十分重要。
-
授權資訊存取位置。授權資訊存取位置就是新增到其授權資訊存取延伸中憑證的 URL。應用程式或服務可以使用這些 URL 來擷取發行 CA 憑證。然後可以使用這些 CA 憑證來驗證憑證簽章,以及建立信任憑證的路徑。
-
CRL。CRL 是完整數位簽署且已撤銷的未到期憑證清單。用戶端可以擷取這個 CRL,以快取 CRL (根據設定的 CRL 存留期),以及使用它來驗證憑證是否可供使用。
-
CRL 發佈點。CRL 發佈點就是新增到其 CRL 發佈點延伸中憑證的位置 (通常是 URL)。應用程式或服務可以使用這些 CRL 發佈點來擷取 CRL。如果應用程式或服務必須判斷憑證在有效期過期之前是否已遭撤銷,則會連絡 CRL 發佈點。
[憑證授權單位] 嵌入式管理單元允許系統管理員監視和管理單一 CA 的這些 PKI 元素。然而,如果有多個 CA,則需要使用嵌入式管理單元的不同執行個體來監視和管理 PKI。此外,[憑證授權單位] 嵌入式管理單元不可以用來將非 Microsoft CA 整合到基礎結構,而且不可以用來方便地管理授權資訊存取位置和 CRL 發佈點存放區。因此,[企業 PKI] 嵌入式管理單元可以用來解決單一嵌入式管理單元的這些問題。
如需 CA、CA 憑證、授權資訊存取位置、CRL 發佈點以及 CRL 如何搭配運作以建立公開金鑰信任階層的相關資訊,請參閱<憑證服務如何運作>(
其他參考資料
-
企業 PKI 概觀
-
<Active Directory 憑證服務>(
https://go.microsoft.com/fwlink/?LinkID=48545 (可能為英文網頁) )