Autorités de certification
Une autorité de certification est responsable de l’attestation de l’identité des utilisateurs, des ordinateurs et des organisations. L’autorité de certification authentifie une entité et ouche pour cette identité en émettant un certificat signé numériquement. L’autorité de certification peut également gérer, révoquer et renouveler des certificats.
Une autorité de certification peut être publique ou privée. Une autorité de certification publique fournit des services de certification, généralement pour un tarif, au public via Internet. Une autorité de certification privée fournit ce service aux membres d’une population délimitée, comme les employés d’une entreprise ou des membres d’un autre groupe privé.
Les moyens par lesquels une autorité de certification authentifie un utilisateur final sont variées et au-delà de l’étendue de cette documentation. Toutefois, les méthodes d’authentification varient clairement selon le type de fournisseur. Par exemple, une autorité de certification privée peut établir l’identité des utilisateurs finaux en faisant référence à une liste de groupes telle qu’une base de données d’employé ou Active Directory. Les méthodes d’authentification effectuées par une autorité de certification publique sont généralement plus complexes et dépendent en partie du niveau d’assurance promis par le certificat.
À mesure que la population d’une infrastructure à clé publique (PKI) augmente, il peut devenir difficile pour une autorité de certification unique de gérer efficacement tous les certificats qu’il a émis. L’autorité de certification peut compenser en autorisant d’autres autorités de certification dans l’infrastructure à clé publique à émettre des certificats. L’autorité de certification initiale est appelée racine et les autorités de certification qu’elle autorise sont appelées subordonnés. Les autorités de certification subordonnées peuvent également désigner leurs propres filiales dans les limites définies par la racine. La structure résultante est appelée hiérarchie de certificats. Les certificats émis aux autorités de certification inférieures dans la hiérarchie contiennent suffisamment de certificats pour tracer un chemin d’accès à la racine. Il s’agit d’une chaîne de certificats.
Le terme autorité de certification peut faire référence à l’organisation qui vouche pour l’identité d’un utilisateur final et du serveur utilisé par l’organisation pour émettre et gérer des certificats. Un serveur Windows peut être configuré pour agir en tant que serveur d’autorité de certification, et cette documentation fait généralement référence au serveur lors de l’utilisation de l’autorité de certification.
L’API d’inscription de certificat interagit principalement avec une autorité de certification à l’aide de l’objet IX509Enrollment. La méthode Inscrire sur cet objet peut encoder automatiquement une demande de certificat, l’envoyer à l’autorité de certification et installer le certificat émis. Vous pouvez également utiliser un objet IX509Enrollment initialisé pour l’inscription hors bande ou pour l’inscription différée. En outre, vous pouvez utiliser l’objet IX509EnrollmentStatus pour surveiller l’état d’inscription.
Rubriques connexes