Zertifizierungsstellen

Eine Zertifizierungsstelle ist für den Nachweis der Identität von Benutzern, Computern und Organisationen verantwortlich. Die ZS authentifiziert eine Entität und bürgt durch die Ausstellung eines digital signierten Zertifikats für diese Entität. ZS können Zertifikate außerdem verwalten, widerrufen und erneuern.

Eine Zertifizierungsstelle kann öffentlich oder privat sein. Eine öffentliche Zertifizierungsstelle stellt Zertifizierungsdienste für die Öffentlichkeit in der Regel gegen eine Gebühr über das Internet zur Verfügung. Eine private Zertifizierungsstelle stellt diesen Dienst für die Mitglieder einer durch Trennzeichen getrennten Grundgruppe zur Verfügung, z. B. die Mitarbeiter eines Unternehmens oder Mitglieder einer anderen privaten Gruppe.

Die Mittel, mit denen eine Zertifizierungsstelle einen Endbenutzer authentifiziert, sind unterschiedlich und gehen über den Rahmen dieser Dokumentation hinaus. Die Authentifizierungsmethoden variieren jedoch eindeutig je nach Anbietertyp. Beispielsweise kann eine private Zertifizierungsstelle die Identität von Endbenutzern festlegen, indem sie auf einen Gruppenplaner verweist, z. B. eine Mitarbeiterdatenbank oder Active Directory. Die von einer öffentlichen Zertifizierungsstelle ausgeführten Authentifizierungsmethoden sind im Allgemeinen komplexer und hängen teilweise davon ab, welche Sicherheitsstufe das Zertifikat zusichert.

Mit zunehmender Aufheitung einer Public Key-Infrastruktur (PKI) kann es für eine einzelne Zertifizierungsstelle schwierig werden, alle ausgestellten Zertifikate effektiv zu verwalten. Die Zertifizierungsstelle kann dies kompensieren, indem sie andere Zertifizierungsstellen in der PKI autorisiert, Zertifikate aus ausgestellt zu haben. Die anfängliche Zertifizierungsstelle wird als Stamm bezeichnet, und die Zertifizierungsstellen, die sie autorisiert, werden als untergeordnete Zertifizierungsstellen bezeichnet. Untergeordnete Zertifizierungsstelle können auch ihre eigenen Niederlassungen innerhalb der vom Stamm festgelegten Grenzwerte festlegen. Die resultierende Struktur wird als Zertifikathierarchie bezeichnet. Die Zertifikate, die an Zertifizierungsstelle weiter unten in der Hierarchie ausgestellt werden, enthalten genügend Zertifikate, um einen Pfad zurück zum Stamm zurückverfolgt zu können. Dies wird als Zertifikatkette bezeichnet.

Der Begriff Zertifizierungsstelle kann sich sowohl auf die Organisation beziehen, die die Identität eines Endbenutzers abspricht, als auch auf den Server, der von der Organisation verwendet wird, um Zertifikate auszugeben und zu verwalten. Ein Windows server kann so konfiguriert werden, dass er als Zertifizierungsstellenserver verwendet wird, und diese Dokumentation bezieht sich in der Regel auf den Server, wenn der Begriff ZS verwendet wird.

Die Zertifikatregistrierungs-API interagiert mit einer Zertifizierungsstelle hauptsächlich mithilfe des IX509Enrollment-Objekts. Die Enroll-Methode für dieses Objekt kann eine Zertifikatanforderung automatisch codieren, an die Zertifizierungsstelle übermitteln und das ausgestellte Zertifikat installieren. Sie können auch ein initialisiertes IX509Enrollment-Objekt für die Out-of-Band-Registrierung oder für die verzögerte Registrierung verwenden. Darüber hinaus können Sie das OBJEKT IX509EnrollmentStatus verwenden, um den Registrierungsstatus zu überwachen.

PKI-Elemente