Autoridades de certificação
Uma autoridade de certificação (CA) é responsável por atestar a identidade de usuários, computadores e organizações. A autoridade de certificação autentica uma entidade e garante essa identidade emitindo um certificado assinado digitalmente. A autoridade de certificação também pode gerenciar, revogar e renovar certificados.
Uma autoridade de certificação pode ser pública ou privada. Uma autoridade de certificação pública fornece serviços de certificação, normalmente por uma taxa, ao público pela Internet. Uma autoridade de certificação privada fornece este serviço aos membros de uma população delimitada, como os funcionários de uma empresa ou membros de algum outro grupo privado.
Os meios pelos quais uma autoridade de certificação autentica um usuário final são variados e estão além do escopo desta documentação. Claramente, no entanto, os métodos de autenticação variam de acordo com o tipo de provedor. Por exemplo, uma autoridade de certificação privada pode estabelecer a identidade dos usuários finais referindo-se a uma lista de grupos, como um banco de dados de funcionários ou o Ative Directory. Os métodos de autenticação executados por uma autoridade de certificação pública são geralmente mais complexos e dependem em parte do nível de garantia prometido pelo certificado.
À medida que a população de uma PKI (infraestrutura de chave pública) cresce, pode se tornar difícil para uma única autoridade de certificação gerenciar efetivamente todos os certificados que emitiu. A autoridade de certificação pode compensar autorizando outras autoridades de certificação na PKI a emitir certificados. A autoridade de certificação inicial é chamada de raiz, e as autoridades de certificação que ela autoriza são chamadas de subordinadas. As autoridades de certificação subordinadas também podem designar suas próprias subsidiárias dentro dos limites estabelecidos pela raiz. A estrutura resultante é chamada de hierarquia de certificados. Os certificados emitidos para CAs inferiores na hierarquia contêm certificados suficientes para rastrear um caminho de volta à raiz. Isso é chamado de cadeia de certificados.
O termo autoridade de certificação pode se referir tanto à organização que garante a identidade de um usuário final quanto ao servidor usado pela organização para emitir e gerenciar certificados. Um servidor Windows pode ser configurado para atuar como um servidor de autoridade de certificação, e esta documentação geralmente se refere ao servidor ao usar o termo autoridade de certificação.
A API de Registro de Certificado interage com uma autoridade de certificação principalmente usando o objetoIX509Enrollment. O método Enroll neste objeto pode codificar automaticamente uma solicitação de certificado, enviá-la à autoridade de certificação e instalar o certificado emitido. Você também pode usar um objeto inicializado IX509Enrollment para registro fora de banda ou para registro atrasado. Além disso, você pode usar o objeto IX509EnrollmentStatus para monitorar o status do registro.
Tópicos relacionados