証明書サービスのアーキテクチャ
Certificate Services は、企業またはセキュリティで保護されたインターネット アプリケーションの証明機関を構築するための開発プラットフォームです。 構成済みの運用証明機関を使用すると、最小限の管理オーバーヘッドと最大限のセキュリティを使用して、サイトで証明書の発行、追跡、管理、取り消しを行うことができます。
証明書サービスは、サーバー エンジン、サーバー データベース、および証明機関として機能するために連携する一連のモジュールとツールで構成されます。 外部アプリケーション、モジュール、および管理ツールでは、コンポーネント オブジェクト モデル (COM) インターフェイスを使用してサーバー エンジンと対話します。 次の図は、サーバー エンジンで使用されるインターフェイスを示しています。
運用認定システムには、通常、4 つの主要なサブシステムがあります。
| Subsystem | 説明 |
|---|---|
| クライアント | クライアントは、エンド ユーザーが 証明書要求の生成、要求の送信、完了した証明書の受信に使用するソフトウェアです。 クライアントの例として、Microsoft インターネット エクスプローラー バージョン 5 があります。 クライアントは通常、中間アプリケーションによって管理されるカスタム インターフェイスと対話します。 |
| 仲介 | 中継は、中間アプリケーションと Certificate Services クライアント インターフェイス (セットアップ プログラムの Certificate Services Web クライアント ) で構成されるサブシステムです。 中間アプリケーションは、クライアントと直接やり取りし、証明書要求を受け取り、完了した証明書を返します。 これは、 ICertConfig インターフェイスと ICertRequest COM インターフェイスを含む Certificate Services クライアント インターフェイスを介してサーバー エンジンと通信します。 中間アプリケーションの例として、Microsoft インターネット インフォメーション サービスがあります。 中間アプリケーションは、Active Server Pages を介して完全に実装できます。 |
| サーバー | サーバーは、証明書をビルドするシステムです。 サーバー エンジンに加えて、2 つの構成可能なコンポーネントが含まれています。ポリシー モジュールと終了モジュール。 ポリシー モジュールは、ICertPolicy インターフェイスと ICertServerPolicy インターフェイスを介してサーバー エンジンと対話します。 終了モジュール (複数存在する可能性があります) は、ICertExit インターフェイスと ICertServerExit インターフェイスを介してサーバー エンジンと対話します。 |
| 管理クライアント | 管理クライアントは、証明書と要求を監視および管理するシステムです。 管理クライアントは 、ICertAdmin インターフェイスを使用してサーバー エンジンと通信します。 |
Certificate Services アーキテクチャの詳細については、 暗号化インターフェイス、 証明書の構築、および次のトピックを参照してください。
| セクション | コンテンツ |
|---|---|
| ポリシー モジュール | 証明書要求の評価中に使用できるカスタマイズ可能なプログラム。これらのプログラムは、証明書サービスが要求を発行または拒否する規則を適用します。 |
| 終了モジュール | 証明書の発行時など、操作が発生したときにサーバー エンジンから通知を受け取るカスタマイズ可能なプログラム。 |
| 拡張ハンドラー | より複雑な拡張機能とデータ型をエンコードするためのルーチンを提供する COM オブジェクト。 |
| 中継局 | 証明書要求の送信を許可するためにクライアント アプリケーションと通信するプログラム。 |