Entidades de certificación
Una entidad de certificación (CA) es responsable de atestiguar la identidad de los usuarios, los equipos y las organizaciones. Las CA autentican una entidad y responden por ella emitiendo un certificado firmado digitalmente. Asimismo, administran, revocan y renuevan certificados.
Una entidad de certificación puede ser pública o privada. Una entidad de certificación pública proporciona servicios de certificación, normalmente por una tarifa, al público a través de Internet. Una entidad de certificación privada proporciona este servicio a los miembros de una población delimitada, como los empleados de un negocio o miembros de algún otro grupo privado.
Los medios por los que una ENTIDAD de certificación autentica a un usuario final son variados y más allá del ámbito de esta documentación. Sin embargo, claramente, los métodos de autenticación varían según el tipo de proveedor. Por ejemplo, una entidad de certificación privada puede establecer la identidad de los usuarios finales haciendo referencia a una lista de grupos, como una base de datos de empleados o Active Directory. Los métodos de autenticación realizados por una entidad de certificación pública suelen ser más complejos y dependen en parte del nivel de garantía prometido por el certificado.
A medida que crece la población de una infraestructura de clave pública (PKI), puede resultar difícil que una única entidad de certificación administre eficazmente todos los certificados que ha emitido. La entidad de certificación puede compensar al autorizar a otras CA de la PKI para emitir certificados. La entidad de certificación inicial se denomina raíz y las CA que autoriza se denominan subordinados. Las CA subordinadas también pueden designar sus propias subsidiarias dentro de los límites establecidos por la raíz. La estructura resultante se denomina jerarquía de certificados. Los certificados emitidos a ca inferiores en la jerarquía contienen suficientes certificados para realizar un seguimiento de una ruta de acceso a la raíz. Esto se denomina cadena de certificados.
El término entidad de certificación puede hacer referencia a la organización que vouche para la identidad de un usuario final y el servidor que usa la organización para emitir y administrar certificados. Un servidor de Windows se puede configurar para que actúe como un servidor de CA y esta documentación normalmente hace referencia al servidor cuando se usa el término CA.
La API de inscripción de certificados interactúa con una entidad de certificación principalmente mediante el objeto IX509Enrollment . El método Enroll en este objeto puede codificar automáticamente una solicitud de certificado, enviarla a la ENTIDAD de certificación e instalar el certificado emitido. También puede usar un objeto IX509Enrollment inicializado para la inscripción fuera de banda o para la inscripción retrasada. Además, puede usar el objeto IX509EnrollmentStatus para supervisar el estado de inscripción.
Temas relacionados