证书服务体系结构
证书服务是一个开发平台,用于为企业或保护 Internet 应用程序构建证书颁发机构。 配置的和可作的证书颁发机构将允许站点颁发、跟踪、管理和撤销证书,且管理开销最低且安全性最高。
证书服务由服务器引擎、服务器数据库和一组模块和工具组成,共同充当证书颁发机构。 外部应用程序、模块和管理工具使用组件对象模型 (COM) 接口与服务器引擎交互。 下图显示了服务器引擎使用的接口:
运营认证系统通常具有四个主要子系统。
| 子系统 | 描述 |
|---|---|
| 客户 | 客户端是最终用户用来生成 证书请求、发送请求并接收完成的证书的软件。 客户端的示例Microsoft Internet Explorer 版本 5。 客户端通常与中间应用程序维护的自定义接口进行交互。 |
| 中介 | 中介是一个子系统,由中间应用程序和证书服务客户端接口(安装程序中的证书服务 Web 客户端)组成。 中介应用程序直接与客户端交互,接收证书请求并返回已完成的证书。 它通过证书服务客户端接口与服务器引擎通信,该接口包含 ICertConfig 和 ICertRequest COM 接口。 中介应用程序的一个示例是Microsoft Internet Information Services。 中间应用程序可以通过 Active Server Pages 完全实现。 |
| 服务器 | 服务器是生成证书的系统。 除了服务器引擎,还包含两个可配置组件:策略模块和退出模块。 策略模块通过 ICertPolicy 和 ICertServerPolicy 接口与服务器引擎交互。 退出模块(可以有多个)通过 ICertExit 与服务器引擎交互,ICertServerExit 接口。 |
| 管理客户端 | 管理客户端是监视和管理证书和请求的系统。 管理客户端使用 ICertAdmin 接口与服务器引擎通信。 |
有关证书服务体系结构的详细信息,请参阅 加密接口、生成证书以及以下主题。
| 部分 | 内容 |
|---|---|
| 策略模块 | 可在评估 证书请求期间使用的可自定义程序;这些程序强制实施证书服务颁发或拒绝请求的规则。 |
| 退出模块 | 可自定义程序,这些程序在发生作时从服务器引擎接收通知,例如颁发证书时。 |
| 扩展处理程序 | 提供用于编码更复杂的扩展和数据类型的例程的 COM 对象。 |
| 中介 | 与客户端应用程序通信以允许提交证书请求的程序。 |