Autorità di certificazione
Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. La CA autentica un'entità e convalida l'identità mediante il rilascio in un certificato firmato digitalmente. La CA può inoltre gestire, revocare e rinnovare i certificati.
Una CA può essere pubblica o privata. Una CA pubblica fornisce servizi di certificazione, in genere a pagamento, al pubblico tramite Internet. Una CA privata fornisce questo servizio ai membri di una popolazione delimitata, ad esempio i dipendenti di un'azienda o dei membri di un altro gruppo privato.
I mezzi con cui un'autorità di certificazione autentica un utente finale sono diversi e non rientrano nell'ambito di questa documentazione. Tuttavia, i metodi di autenticazione variano in base al tipo di provider. Ad esempio, una CA privata può stabilire l'identità degli utenti finali facendo riferimento a un elenco di gruppi, ad esempio un database dipendente o Active Directory. I metodi di autenticazione eseguiti da una CA pubblica sono in genere più complessi e dipendono in parte dal livello di garanzia promesso dal certificato.
Man mano che la popolazione di un'infrastruttura a chiave pubblica (PKI) cresce, può diventare difficile per una singola CA gestire in modo efficace tutti i certificati rilasciati. La CA può compensare autorizzando altre CA nell'infrastruttura a chiave pubblica per rilasciare certificati. La CA iniziale è denominata radice e le ca autorizzate vengono chiamate subordinate. Le ca subordinate possono anche designare le proprie filiali entro i limiti impostati dalla radice. La struttura risultante è denominata gerarchia di certificati. I certificati rilasciati alle CA inferiori nella gerarchia contengono certificati sufficienti per tracciare un percorso alla radice. Si tratta di una catena di certificati.
Il termine autorità di certificazione può fare riferimento all'organizzazione che garantisce l'identità di un utente finale e il server usato dall'organizzazione per rilasciare e gestire i certificati. Un server Windows può essere configurato in modo da fungere da server CA e questa documentazione si riferisce in genere al server quando si usa il termine CA.
L'API Di registrazione certificati interagisce principalmente con una CA usando l'oggetto IX509Enrollment . Il metodo Enroll in questo oggetto può codificare automaticamente una richiesta di certificato, inviarla alla CA e installare il certificato emesso. È anche possibile usare un oggetto IX509Enrollment inizializzato per la registrazione fuori banda o per la registrazione ritardata. Inoltre, è possibile utilizzare l'oggetto IX509EnrollmentStatus per monitorare lo stato della registrazione.
Argomenti correlati