Partilhar via


Autoridades de Certificação

Uma AC (autoridade de certificação ) é responsável por atestar a identidade de usuários, computadores e organizações. A AC autentica uma entidade e garante-a emitindo um certificado assinado digitalmente. A AC também pode gerenciar, revogar e renovar certificados.

Uma AC pode ser pública ou privada. Uma AC pública fornece serviços de certificação, normalmente por uma taxa, ao público pela Internet. Uma AC privada fornece esse serviço aos membros de uma população delimitada, como os funcionários de uma empresa ou membros de algum outro grupo privado.

Os meios pelos quais uma AC autentica um usuário final são variados e além do escopo desta documentação. No entanto, claramente, os métodos de autenticação variam de acordo com o tipo de provedor. Por exemplo, uma AC privada pode estabelecer a identidade dos usuários finais referindo-se a uma lista de grupos, como um banco de dados de funcionários ou o Active Directory. Os métodos de autenticação executados por uma AC pública geralmente são mais complexos e dependem, em parte, do nível de garantia que está sendo prometido pelo certificado.

À medida que a população de uma PKI (infraestrutura de chave pública) cresce, pode se tornar difícil para uma única AC gerenciar efetivamente todos os certificados emitidos. A AC pode compensar autorizando outras ACs na PKI a emitir certificados. A AC inicial é chamada de raiz e as ACs autorizadas são chamadas de subordinadas. As ACs subordinadas também podem designar suas próprias subsidiárias dentro dos limites definidos pela raiz. A estrutura resultante é chamada de hierarquia de certificados. Os certificados emitidos para CAs inferiores na hierarquia contêm certificados suficientes para rastrear um caminho de volta para a raiz. Isso é chamado de cadeia de certificados.

O termo autoridade de certificação pode se referir à organização que atesta a identidade de um usuário final e o servidor usado pela organização para emitir e gerenciar certificados. Um servidor Windows pode ser configurado para atuar como um servidor de AC, e essa documentação geralmente se refere ao servidor ao usar o termo AC.

A API de Registro de Certificado interage com uma AC principalmente usando o objeto IX509Enrollment . O método Enroll neste objeto pode codificar automaticamente uma solicitação de certificado, enviá-la à AC e instalar o certificado emitido. Você também pode usar um objeto IX509Enrollment inicializado para registro fora de banda ou para registro atrasado. Além disso, você pode usar o objeto IX509EnrollmentStatus para monitorar status de registro.

Elementos PKI