证书颁发机构
证书颁发机构 (CA) 负责证明用户、计算机和组织的身份。 通过颁发一个经过数字签名的证书,CA 可对某个实体进行身份验证并担保该身份。 CA 还可以管理、吊销和续订证书。
CA 可以是公共的,也可以是专用的。 公共 CA 通过 Internet 向公众提供认证服务,通常收费。 专用 CA 向分隔群体的成员(例如企业的员工或其他某个专用组的成员)提供此服务。
CA 对最终用户进行身份验证的方式各不相同,超出了本文档的范围。 但是,显然,身份验证方法因提供程序类型而异。 例如,专用 CA 可以通过引用组名单(如员工数据库或 Active Directory)来建立最终用户的标识。 公共 CA 执行的身份验证方法通常更为复杂,部分取决于证书承诺的保证级别。
随着公钥基础结构 (PKI) 数量的增长,单个 CA 可能难以有效管理其颁发的所有证书。 CA 可以通过授权 PKI 中的其他 CA 颁发证书来补偿。 初始 CA 称为根,其授权的 CA 称为从属 CA。 从属 CA 还可以在根设置的限制内指定自己的子公司。 生成的结构称为证书层次结构。 颁发给层次结构中较低层 CA 的证书包含足够的证书,用于跟踪路径回根目录。 这称为证书链。
术语证书颁发机构可以指保证最终用户标识的组织以及组织用于颁发和管理证书的服务器。 可以将 Windows 服务器配置为充当 CA 服务器,本文档在使用术语 CA 时通常引用该服务器。
证书注册 API 主要通过使用 IX509Enrollment 对象与 CA 交互。 此对象上的 Enroll 方法可以自动对证书请求进行编码,将其提交到 CA,然后安装颁发的证书。 还可以将初始化的 IX509Enrollment 对象用于带外注册或延迟注册。 此外,可以使用 IX509EnrollmentStatus 对象来监视注册状态。
相关主题