Autorités de certification
Une autorité de certification est chargée d’attester l’identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Elle gère, révoque et renouvelle également les certificats.
Une autorité de certification peut être publique ou privée. Une autorité de certification publique fournit des services de certification, généralement moyennant des frais, au public via Internet. Une autorité de certification privée fournit ce service aux membres d’une population délimitée, comme les employés d’une entreprise ou les membres d’un autre groupe privé.
Les moyens par lesquels une autorité de certification authentifie un utilisateur final sont variés et dépassent la portée de cette documentation. Toutefois, il est clair que les méthodes d’authentification varient selon le type de fournisseur. Par exemple, une autorité de certification privée peut établir l’identité des utilisateurs finaux en faisant référence à une liste de groupes, telle qu’une base de données d’employés ou Active Directory. Les méthodes d’authentification effectuées par une autorité de certification publique sont généralement plus complexes et dépendent en partie du niveau d’assurance promis par le certificat.
À mesure que la population d’une infrastructure à clé publique (PKI) augmente, il peut devenir difficile pour une autorité de certification unique de gérer efficacement tous les certificats qu’elle a émis. L’autorité de certification peut compenser en autorisant d’autres autorités de certification de la PKI à émettre des certificats. L’autorité de certification initiale est appelée racine, et les autorités de certification qu’elle autorise sont appelées subordonnées. Les autorités de certification subordonnées peuvent également désigner leurs propres filiales dans les limites définies par la racine. La structure résultante est appelée hiérarchie de certificats. Les certificats émis aux autorités de certification en bas de la hiérarchie contiennent suffisamment de certificats pour effectuer le suivi d’un chemin d’accès à la racine. C’est ce qu’on appelle une chaîne de certificats.
Le terme autorité de certification peut faire référence à la fois à la organization qui garantit l’identité d’un utilisateur final et au serveur utilisé par le organization pour émettre et gérer des certificats. Un serveur Windows peut être configuré pour agir en tant que serveur d’autorité de certification, et cette documentation fait généralement référence au serveur lors de l’utilisation du terme d’autorité de certification.
L’API Inscription de certificat interagit avec une autorité de certification principalement à l’aide de l’objet IX509Enrollment . La méthode Enroll sur cet objet peut encoder automatiquement une demande de certificat, la soumettre à l’autorité de certification et installer le certificat émis. Vous pouvez également utiliser un objet IX509Enrollment initialisé pour l’inscription hors bande ou pour l’inscription différée. En outre, vous pouvez utiliser l’objet IX509EnrollmentStatus pour surveiller l’inscription status.
Rubriques connexes