Zertifizierungsstellen
Eine Zertifizierungsstelle ist für den Nachweis der Identität von Benutzern, Computern und Organisationen verantwortlich. Die ZS authentifiziert eine Entität und bürgt durch die Ausstellung eines digital signierten Zertifikats für diese Entität. ZS können Zertifikate außerdem verwalten, widerrufen und erneuern.
Eine Zertifizierungsstelle kann öffentlich oder privat sein. Eine öffentliche Zertifizierungsstelle bietet der Öffentlichkeit Zertifizierungsdienste an, die in der Regel kostenpflichtig sind, über das Internet. Eine private Zertifizierungsstelle stellt diesen Dienst für die Mitglieder einer durch Trennzeichen gekennzeichneten Population bereit, z. B. die Mitarbeiter eines Unternehmens oder Mitglieder einer anderen privaten Gruppe.
Die Mittel, mit denen eine Zertifizierungsstelle einen Endbenutzer authentifiziert, sind unterschiedlich und gehen über den Umfang dieser Dokumentation hinaus. Die Authentifizierungsmethoden variieren jedoch eindeutig je nach Anbietertyp. Beispielsweise kann eine private Zertifizierungsstelle die Identität von Endbenutzern ermitteln, indem sie auf eine Gruppenliste wie eine Mitarbeiterdatenbank oder Active Directory verweist. Die von einer öffentlichen Zertifizierungsstelle durchgeführten Authentifizierungsmethoden sind in der Regel komplexer und hängen teilweise von der Vom Zertifikat zugesagten Sicherheit ab.
Wenn die Population einer Public Key-Infrastruktur (PKI) wächst, kann es für eine einzelne Zertifizierungsstelle schwierig werden, alle ausgestellten Zertifikate effektiv zu verwalten. Die Zertifizierungsstelle kann das kompensieren, indem sie andere Zertifizierungsstellen in der PKI autorisiert, Zertifikate auszustellen. Die anfängliche Zertifizierungsstelle wird stamm genannt, und die von ihr autorisierten Zertifizierungsstellen werden als Untergeordnete bezeichnet. Untergeordnete Zertifizierungsstellen können auch ihre eigenen Tochtergesellschaften innerhalb der vom Stamm festgelegten Grenzwerte festlegen. Die resultierende Struktur wird als Zertifikathierarchie bezeichnet. Die Zertifikate, die für Zertifizierungsstellen unter der Hierarchie ausgestellt wurden, enthalten genügend Zertifikate, um einen Pfad zurück zum Stamm zurückverfolgen zu können. Dies wird als Zertifikatkette bezeichnet.
Der Begriff Zertifizierungsstelle kann sich sowohl auf den organization beziehen, der die Identität eines Endbenutzers bestimmt, als auch auf den Server, der vom organization zum Ausstellen und Verwalten von Zertifikaten verwendet wird. Ein Windows-Server kann so konfiguriert werden, dass er als Zertifizierungsstellenserver fungiert, und diese Dokumentation bezieht sich normalerweise auf den Server, wenn der Begriff Zertifizierungsstelle verwendet wird.
Die Zertifikatregistrierungs-API interagiert mit einer Zertifizierungsstelle hauptsächlich mithilfe des IX509Enrollment-Objekts . Die Enroll-Methode für dieses Objekt kann eine Zertifikatanforderung automatisch codieren, an die Zertifizierungsstelle übermitteln und das ausgestellte Zertifikat installieren. Sie können auch ein initialisiertes IX509Enrollment-Objekt für die Out-of-Band-Registrierung oder für die verzögerte Registrierung verwenden. Darüber hinaus können Sie das IX509EnrollmentStatus-Objekt verwenden, um die Registrierung status zu überwachen.
Zugehörige Themen