Architektur der Zertifikatdienste

Zertifikatdienste sind eine Entwicklungsplattform zum Erstellen von Zertifizierungsstellen für Unternehmen oder zum Schützen von Internetanwendungen. Eine konfigurierte und betriebsbereite Zertifizierungsstelle ermöglicht es einem Standort, Zertifikate mit minimalem Verwaltungsaufwand und maximaler Sicherheit aus- und zu verfolgen, zu verwalten und zu widerrufen.

Die Zertifikatdienste bestehen aus der Server-Engine, der Serverdatenbank und einer Reihe von Modulen und Tools, die zusammenarbeiten, um als Zertifizierungsstelle zu funktionieren. Externe Anwendungen, Module und Verwaltungstools verwenden Component Object Model -Schnittstellen (COM), um mit der Server-Engine zu interagieren. Das folgende Diagramm zeigt die schnittstellen, die von der Server-Engine verwendet werden:

Architektur der Zertifikatdienste

Ein betriebsbereites Zertifizierungssystem umfasst in der Regel vier Hauptsubsysteme.

Subsystem Beschreibung
Client Der Client ist die Software, die vom Endbenutzer verwendet wird, um eine Zertifikatanforderung zu generieren,die Anforderung zu senden und das fertige Zertifikat zu erhalten. Ein Beispiel für einen Client ist Microsoft Internet Explorer Version 5. Der Client interagiert in der Regel mit einer benutzerdefinierten Schnittstelle, die von der zwischengeschalteten Anwendung verwaltet wird.
Vermittler Der Vermittler ist ein Subsystem, das aus der zwischengeschalteten Anwendung und der Clientschnittstelle der Zertifikatdienste (Certificate Services Web Client im Setupprogramm) besteht. Die zwischengeschaltete Anwendung interagiert direkt mit dem Client, empfängt Zertifikatanforderungen und gibt fertige Zertifikate zurück. Sie kommuniziert mit der Server-Engine über die Zertifikatdienste-Clientschnittstelle, die die COM-Schnittstellen ICertConfig und ICertRequest enthält. Ein Beispiel für eine Zwischenanwendung ist Microsoft-Internetinformationsdienste. Die zwischengeschaltete Anwendung kann vollständig über Seiten Active Server werden.
Server Der Server ist das System, das das Zertifikat erstellt. Zusätzlich zur Server-Engine sind zwei konfigurierbare Komponenten enthalten: das Richtlinienmodul und das Exitmodul. Das Richtlinienmodul interagiert mit der Server-Engine über die Schnittstellen ICertPolicy und ICertServerPolicy. Exitmodule (es können mehrere sein) interagieren über die Schnittstellen ICertExit und ICertServerExit mit der Server-Engine.
Administrativer Client Der Administratorclient ist das System, das Zertifikate und Anforderungen überwacht und verwaltet. Der Administrator verwendet die ICertAdmin-Schnittstelle für die Kommunikation mit der Server-Engine.

Weitere Informationen zur Architektur der Zertifikatdienste finden Sie unter Kryptografieschnittstellen, Erstellen eines Zertifikatsund den folgenden Themen.

Section Content
Richtlinienmodule Anpassbare Programme, die während der Auswertung von Zertifikatanforderungen verwendet werden können; diese Programme erzwingen die Regeln, mit denen Zertifikatdienste die Anforderung aushingen oder verweigern.
Beenden von Modulen Anpassbare Programme, die Benachrichtigungen von der Server-Engine empfangen, wenn Vorgänge auftreten, z. B. wenn ein Zertifikat ausgestellt wird.
Erweiterungshandler COM-Objekte, die Routinen zum Codieren der komplexeren Erweiterungen und Datentypen bereitstellen.
Vermittler Programme, die mit Clientanwendungen kommunizieren, um die Übermittlung von Zertifikatanforderungen zu ermöglichen.