Zertifikatdienstearchitektur
Zertifikatdienste sind eine Entwicklungsplattform für die Erstellung von Zertifizierungsstellen für Unternehmen oder sichere Internetanwendungen. Eine konfigurierte und operative Zertifizierungsstelle ermöglicht es einer Website, Zertifikate mit minimalem Verwaltungsaufwand und maximaler Sicherheit auszustellen, nachzuverfolgen, zu verwalten und zu widerrufen.
Die Zertifikatdienste bestehen aus dem Servermodul, der Serverdatenbank und einer Reihe von Modulen und Tools, die zusammenarbeiten, um als Zertifizierungsstelle zu funktionieren. Externe Anwendungen, Module und Verwaltungstools verwenden Com-Schnittstellen (Component Object Model), um mit dem Servermodul zu interagieren. Das folgende Diagramm zeigt die vom Servermodul verwendeten Schnittstellen:
Ein betriebsfähiges Zertifizierungssystem verfügt in der Regel über vier hauptsubsystem.
| Subsystem | BESCHREIBUNG |
|---|---|
| Client | Der Client ist die Software, die vom Endbenutzer verwendet wird, um eine Zertifikatanforderung zu generieren, die Anforderung zu senden und das fertige Zertifikat zu empfangen. Ein Beispiel für einen Client ist Microsoft Internet Explorer, Version 5. Der Client interagiert in der Regel mit einer benutzerdefinierten Schnittstelle, die von der zwischengeschalteten Anwendung verwaltet wird. |
| Vermittler | Der Vermittler ist ein Subsystem, das aus der zwischengeschalteten Anwendung und der Zertifikatdienste-Clientschnittstelle (Zertifikatdienste-Webclient im Setupprogramm) besteht. Die zwischengeschaltete Anwendung interagiert direkt mit dem Client, empfängt Zertifikatanforderungen und gibt fertige Zertifikate zurück. Es kommuniziert mit dem Servermodul über die Clientschnittstelle "Zertifikatdienste", die die ICertConfig - und ICertRequest-COM-Schnittstellen enthält. Ein Beispiel für eine zwischengeschaltete Anwendung ist Microsoft-Internetinformationsdienste. Die zwischengeschaltete Anwendung kann vollständig über Active Server Pages implementiert werden. |
| Server | Der Server ist das System, das das Zertifikat erstellt. Zusätzlich zum Servermodul sind zwei konfigurierbare Komponenten enthalten; das Richtlinienmodul und das Exit-Modul. Das Richtlinienmodul interagiert mit dem Servermodul über die ICertPolicy - und ICertServerPolicy-Schnittstellen . Beenden von Modulen (es kann mehrere geben) interagieren mit dem Servermodul über die ICertExit - und ICertServerExit-Schnittstellen . |
| Administrativer Client | Der Administratorclient ist das System, das Zertifikate und Anforderungen überwacht und verwaltet. Der Administrative Client verwendet die ICertAdmin-Schnittstelle , um mit dem Servermodul zu kommunizieren. |
Weitere Informationen zur Architektur von Zertifikatdiensten finden Sie unter Kryptografieschnittstellen, Erstellen eines Zertifikats und der folgenden Themen.
| `Section` | Inhalt |
|---|---|
| Richtlinienmodule | Anpassbare Programme, die während der Auswertung von Zertifikatanforderungen verwendet werden können; diese Programme erzwingen die Regeln, nach denen Zertifikatdienste probleme auftreten oder die Anforderung verweigern. |
| Beenden von Modulen | Anpassbare Programme, die Benachrichtigungen vom Servermodul empfangen, wenn Vorgänge auftreten, z. B. wenn ein Zertifikat ausgestellt wird. |
| Erweiterungshandler | COM-Objekte, die Routinen für die Codierung der komplexeren Erweiterungen und Datentypen bereitstellen. |
| Vermittler | Programme, die mit Clientanwendungen kommunizieren, um die Übermittlung von Zertifikatanforderungen zu ermöglichen. |