Architektur der Zertifikatdienste
Zertifikatdienste sind eine Entwicklungsplattform zum Erstellen von Zertifizierungsstellen für Unternehmen oder zum Schützen von Internetanwendungen. Eine konfigurierte und betriebsbereite Zertifizierungsstelle ermöglicht es einem Standort, Zertifikate mit minimalem Verwaltungsaufwand und maximaler Sicherheit aus- und zu verfolgen, zu verwalten und zu widerrufen.
Die Zertifikatdienste bestehen aus der Server-Engine, der Serverdatenbank und einer Reihe von Modulen und Tools, die zusammenarbeiten, um als Zertifizierungsstelle zu funktionieren. Externe Anwendungen, Module und Verwaltungstools verwenden Component Object Model -Schnittstellen (COM), um mit der Server-Engine zu interagieren. Das folgende Diagramm zeigt die schnittstellen, die von der Server-Engine verwendet werden:

Ein betriebsbereites Zertifizierungssystem umfasst in der Regel vier Hauptsubsysteme.
| Subsystem | Beschreibung |
|---|---|
| Client | Der Client ist die Software, die vom Endbenutzer verwendet wird, um eine Zertifikatanforderung zu generieren,die Anforderung zu senden und das fertige Zertifikat zu erhalten. Ein Beispiel für einen Client ist Microsoft Internet Explorer Version 5. Der Client interagiert in der Regel mit einer benutzerdefinierten Schnittstelle, die von der zwischengeschalteten Anwendung verwaltet wird. |
| Vermittler | Der Vermittler ist ein Subsystem, das aus der zwischengeschalteten Anwendung und der Clientschnittstelle der Zertifikatdienste (Certificate Services Web Client im Setupprogramm) besteht. Die zwischengeschaltete Anwendung interagiert direkt mit dem Client, empfängt Zertifikatanforderungen und gibt fertige Zertifikate zurück. Sie kommuniziert mit der Server-Engine über die Zertifikatdienste-Clientschnittstelle, die die COM-Schnittstellen ICertConfig und ICertRequest enthält. Ein Beispiel für eine Zwischenanwendung ist Microsoft-Internetinformationsdienste. Die zwischengeschaltete Anwendung kann vollständig über Seiten Active Server werden. |
| Server | Der Server ist das System, das das Zertifikat erstellt. Zusätzlich zur Server-Engine sind zwei konfigurierbare Komponenten enthalten: das Richtlinienmodul und das Exitmodul. Das Richtlinienmodul interagiert mit der Server-Engine über die Schnittstellen ICertPolicy und ICertServerPolicy. Exitmodule (es können mehrere sein) interagieren über die Schnittstellen ICertExit und ICertServerExit mit der Server-Engine. |
| Administrativer Client | Der Administratorclient ist das System, das Zertifikate und Anforderungen überwacht und verwaltet. Der Administrator verwendet die ICertAdmin-Schnittstelle für die Kommunikation mit der Server-Engine. |
Weitere Informationen zur Architektur der Zertifikatdienste finden Sie unter Kryptografieschnittstellen, Erstellen eines Zertifikatsund den folgenden Themen.
Section |
Content |
|---|---|
| Richtlinienmodule | Anpassbare Programme, die während der Auswertung von Zertifikatanforderungen verwendet werden können; diese Programme erzwingen die Regeln, mit denen Zertifikatdienste die Anforderung aushingen oder verweigern. |
| Beenden von Modulen | Anpassbare Programme, die Benachrichtigungen von der Server-Engine empfangen, wenn Vorgänge auftreten, z. B. wenn ein Zertifikat ausgestellt wird. |
| Erweiterungshandler | COM-Objekte, die Routinen zum Codieren der komplexeren Erweiterungen und Datentypen bereitstellen. |
| Vermittler | Programme, die mit Clientanwendungen kommunizieren, um die Übermittlung von Zertifikatanforderungen zu ermöglichen. |