证书服务体系结构

证书服务是一个开发平台,用于为企业或安全 Internet 应用程序构建证书颁发机构。 配置和操作证书颁发机构允许站点颁发、跟踪、管理和吊销证书,且管理开销最低且安全性最高。

证书服务由服务器引擎、服务器数据库和一组模块和工具组成,共同充当证书颁发机构。 外部应用程序、模块和管理工具使用组件对象模型 (COM) 接口来与服务器引擎交互。 下图显示了服务器引擎使用的接口:

certificate services architecture

运营认证系统通常有四个主要子系统。

子系统 说明
客户端 客户端是最终用户用来生成 证书请求、发送请求和接收已完成证书的软件。 客户端的示例是 Microsoft Internet Explorer 版本 5。 客户端通常与中间应用程序维护的自定义接口进行交互。
中介 中介是一个子系统,由中间应用程序和证书服务客户端接口组成, (安装程序中的 证书服务 Web 客户端) 。 中介应用程序直接与客户端交互,接收证书请求并返回已完成的证书。 它通过证书服务客户端接口与服务器引擎通信,该接口包含 ICertConfig 和 ICertRequest COM 接口。 中间应用程序的一个示例是Microsoft Internet Information Services。 中间应用程序可以通过Active Server Pages完全实现。
服务器 服务器是生成证书的系统。 除了服务器引擎,还包括两个可配置组件:策略模块和退出模块。 策略模块通过 ICertPolicyICertServerPolicy 接口与服务器引擎交互。 退出模块 (可以通过 ICertExitICertServerExit 接口与服务器引擎交互多个) 。
管理客户端 管理客户端是监视和管理证书和请求的系统。 管理客户端使用 ICertAdmin 接口与服务器引擎通信。

 

有关证书服务体系结构的详细信息,请参阅 加密接口生成证书和以下主题。

部分 内容
策略模块 可在 评估证书请求期间使用的可自定义程序;这些程序强制实施证书服务发出或拒绝请求的规则。
退出模块 可自定义的程序在发生操作时从服务器引擎接收通知,例如颁发证书时。
扩展处理程序 提供用于编码更复杂的扩展和数据类型的例程的 COM 对象。
中介 与客户端应用程序通信以允许提交证书请求的程序。