Freigeben über


Architektur von Zertifikatdiensten

Certificate Services ist eine Entwicklungsplattform zum Erstellen von Zertifizierungsstellen für Unternehmen oder sichere Internetanwendungen. Eine konfigurierte und betriebsbereite Zertifizierungsstelle ermöglicht es einem Standort, Zertifikate mit minimalem Verwaltungsaufwand und maximaler Sicherheit auszustellen, nachzuverfolgen, zu verwalten und zu widerrufen.

Die Zertifikatdienste bestehen aus der Server-Engine, der Serverdatenbank und einer Reihe von Modulen und Tools, die zusammenarbeiten, um als Zertifizierungsstelle zu fungieren. Externe Anwendungen, Module und Verwaltungstools verwenden COM-Schnittstellen (Component Object Model), um mit der Server-Engine zu interagieren. Das folgende Diagramm zeigt die von der Server-Engine verwendeten Schnittstellen:

Architektur von Zertifikatdiensten

Ein betriebsbereites Zertifizierungssystem verfügt in der Regel über vier Hauptsubsysteme.

Subsystem BESCHREIBUNG
Client Der Client ist die Software, die vom Endbenutzer verwendet wird, um eine Zertifikatanforderung zu generieren, die Anforderung zu senden und das fertige Zertifikat zu empfangen. Ein Beispiel für einen Client ist Microsoft Internet Explorer Version 5. Der Client interagiert in der Regel mit einer benutzerdefinierten Schnittstelle, die von der Zwischenanwendung verwaltet wird.
Vermittler Der Vermittler ist ein Subsystem, das aus der zwischengeschalteten Anwendung und der Clientschnittstelle für Zertifikatdienste (Zertifikatdienste-Webclient im Setupprogramm) besteht. Die zwischengeschaltete Anwendung interagiert direkt mit dem Client, empfängt Zertifikatanforderungen und gibt fertige Zertifikate zurück. Sie kommuniziert mit der Server-Engine über die Clientschnittstelle der Zertifikatdienste, die die COM-Schnittstellen ICertConfig und ICertRequest enthält. Ein Beispiel für eine zwischengeschaltete Anwendung ist Microsoft-Internetinformationsdienste. Die zwischengeschaltete Anwendung kann vollständig über Active Server Pages implementiert werden.
Server Der Server ist das System, das das Zertifikat erstellt. Neben der Server-Engine sind zwei konfigurierbare Komponenten enthalten; das Richtlinienmodul und das Exitmodul. Das Richtlinienmodul interagiert mit der Server-Engine über die Schnittstellen ICertPolicy und ICertServerPolicy . Exitmodule (es kann mehrere sein) interagieren mit der Server-Engine über die ICertExit - und ICertServerExit-Schnittstellen .
Administratorclient Der Administratorclient ist das System, das Zertifikate und Anforderungen überwacht und verwaltet. Der Administratorclient verwendet die ICertAdmin-Schnittstelle für die Kommunikation mit der Server-Engine.

 

Weitere Informationen zur Architektur von Zertifikatdiensten finden Sie unter Kryptografieschnittstellen, Erstellen eines Zertifikats und die folgenden Themen.

`Section` Inhalt
Richtlinienmodule Anpassbare Programme, die während der Auswertung von Zertifikatanforderungen verwendet werden können; Diese Programme erzwingen die Regeln, nach denen Zertifikatdienste die Anforderung ausgibt oder verweigert.
Exit-Module Anpassbare Programme, die Benachrichtigungen von der Server-Engine erhalten, wenn Vorgänge auftreten, z. B. wenn ein Zertifikat ausgestellt wird.
Erweiterungshandler COM-Objekte, die Routinen für die Codierung komplexerer Erweiterungen und Datentypen bereitstellen.
Vermittler Programme, die mit Clientanwendungen kommunizieren, um die Übermittlung von Zertifikatanforderungen zu ermöglichen.