證書頒發機構單位
證書頒發機構單位(CA)負責證明使用者、計算機和組織身分識別。 CA 會藉由發出數位簽署的憑證來驗證該身分識別的實體並保證該身分識別。 CA 也可以管理、撤銷和更新憑證。
CA 可以是公用或私人。 公用 CA 會透過因特網向公眾提供認證服務,通常是收費。 私人 CA 會將這項服務提供給分隔母體的成員,例如企業員工或某些其他私人群組的成員。
CA 驗證使用者的方式會有所不同,而且超出本檔的範圍。 不過,顯然,驗證方法會因提供者類型而異。 例如,私人 CA 可以藉由參考員工資料庫或 Active Directory 等群組名冊來建立使用者的身分識別。 公用 CA 所執行的驗證方法通常比較複雜,部分取決於憑證所承諾的保證層級。
隨著公鑰基礎結構 (PKI) 的人口成長,單一 CA 很難有效地管理它發行的所有憑證。 CA 可以授權 PKI 中的其他 CA 簽發憑證來補償。 初始 CA 稱為根目錄,且其授權的 CA 稱為次級。 次級 CA 也可以在根所設定的限制內指定自己的子公司。 產生的結構稱為憑證階層。 在階層中較低層級核發給 CA 的憑證包含足夠的憑證,以追蹤路徑回到根目錄。 這稱為憑證鏈結。
證書頒發機構單位一詞可以參考保證使用者身分識別的組織,以及組織用來發行和管理憑證的伺服器。 Windows 伺服器可以設定為做為 CA 伺服器,本檔通常會在使用 CA 一詞時參考伺服器。
憑證註冊 API 主要使用 IX509Enrollment 物件來與 CA 互動。 此物件上的 Enroll 方法可以自動編碼憑證要求、將其提交至 CA,以及安裝發行的憑證。 您也可以使用初始化的 IX509Enrollment 對象進行頻外註冊或延遲註冊。 此外,您可以使用 IX509EnrollmentStatus 物件來監視註冊狀態。
相關主題