帮酷LOGO

Microsoft Windows 图形

证书和证书颁发机构

证书作为识别证书持有者(证书的"主题")的方法递交给某个实体时,只有当收到该证书的实体信任颁发者(通常是指证书颁发机构 (CA))时,证书才是有用的。

当您信任证书颁发机构时,就意味着您相信证书颁发机构在评估证书请求时有正确的策略,并且它会拒绝将证书颁发给不符合这些策略的实体。此外,您还确信证书颁发机构会通过发布随时更新的证书吊销列表,撤消它认为已不再有效的证书。证书吊销列表在过期前一直有效。因此,即使 CA 发布了新的列有新近吊销证书的证书吊销列表,所有拥有旧证书吊销列表的客户也不用查看或检索新列表,直到旧列表过期或删除。如果需要,客户可以使用 CA 网页手动检索当前最新的证书吊销列表。

对于 Windows Server 2003 用户、计算机和服务,在拥有受信根证书颁发机构存储区中的根证书副本,以及拥有表示证书路径中的证书没有取消或过期的有效证书路径时,才会建立对证书颁发机构的信任。证书路径包括颁发给从属 CA 到根 CA 的证书层次中的每个 CA 的每份证书。例如,对于根 CA,证书路径是一份证书,即自身的自颁发证书。对于从属 CA(在层次结构中直接位于根 CA 下面)来说,它的证书路径是 2 个证书,即它自己的证书和根 CA 证书。

证书层次结构

如果您的组织正在使用 Active Directory,那么,根据系统管理员的决定和设置,通常将自动建立对该组织的证书颁发机构的信任。

另一个应该熟悉的概念是证书存储区的继承。如果您将根 CA 证书放到计算机受信任根证书颁发机构存储或企业信任存储中,那么所有计算机用户都将看到自己的用户受信任根证书颁发机构存储区或企业信任存储区,尽管根证书实际位于计算机存储区中。实质上,用户将信任所用计算机信任的所有 CA。证书存储区继承无法环绕其他方式工作:计算机没有继承这些在用户受信任根证书颁发机构存储区和企业信任存储区中的证书。

如果您的组织正在使用与 Windows Server 2003 家族一起安装的 "证书服务"版本以运行其证书颁发机构,证书颁发机构将是以下两种类型之一:企业或独立。对于证书用户和申请者来说,Windows Server 2003 证书颁发机构的两种标准类型的差异总结如下。

企业证书颁发机构

企业证书颁发机构取决于当前使用的 Active Directory。

可以使用"证书申请向导"(从"证书"管理单元中启动)以及证书颁发机构网页,向企业证书颁发机构申请证书。

企业证书颁发机构根据所配置的可颁发证书和申请者的安全权限,来提供不同类型的证书。企业证书颁发机构使用 Active Directory 中的可用信息,来帮助验证申请者的身份。企业证书颁发机构向 Active Directory 以及共享目录发布证书吊销列表。

独立证书颁发机构

独立证书颁发机构在用户的自动操作能力方面不如企业证书颁发机构,因为它不依赖 Active Directory。

默认情况下,用户只能通过网页向独立证书颁发机构申请证书。

通常,不使用 Active Directory 的独立证书颁发机构不得不要求证书申请者提供更完整的确认信息。独立证书颁发机构在共享文件夹中提供其证书吊销列表,如果可能,它也会在 Active Directory 中提供该列表。

注意

  • 有关确定 Windows Server 2003 证书颁发机构是企业还是独立的"证书服务"策略及退出模块的详细信息,请参阅策略和退出模块
  • 可能可以利用策略模块(不同于与 Windows Server 2003 操作系统一起安装的策略模块)自定义 Windows Server 2003 证书颁发机构。这种情况下,该证书颁发机构在技术上既不是独立的也不是企业证书颁发机构,但可能有一个或另一个的特性。有关您的组织中自定义的 Windows Server 2003 证书颁发机构的详细信息,请与证书颁发机构的系统管理员联系。

详细信息,请参阅证书颁发机构证书服务概述申请证书使用 Windows 证书服务网页证书存储区资源



上传人:

分享于 2011-03-23 21:01:00

浏览:86  赞: 0

Copyright © 2011 HelpLib All rights reserved.   
内容合作 | 联系我们 | 关于我们 | 版权声明  |  如果智培  |  酷兔英语 站点地图
京ICP备05059198号-3