Freigeben über


Architektur von Zertifikatdiensten

Zertifikatdienste sind eine Entwicklungsplattform zum Erstellen von Zertifizierungsstellen für Unternehmen oder sichere Internetanwendungen. Eine konfigurierte und betriebsbereite Zertifizierungsstelle ermöglicht es einem Standort, Zertifikate mit minimalem Verwaltungsaufwand und maximaler Sicherheit auszustellen, zu verfolgen, zu verwalten und zu widerrufen.

Die Zertifikatdienste bestehen aus dem Servermodul, der Serverdatenbank und einer Reihe von Modulen und Tools, die zusammenarbeiten, um als Zertifizierungsstelle zu fungieren. Externe Anwendungen, Module und Verwaltungstools verwenden COM-Schnittstellen (Component Object Model), um mit dem Servermodul zu interagieren. Das folgende Diagramm zeigt die vom Servermodul verwendeten Schnittstellen:

Zertifikatdienstearchitektur

Ein betriebsbereites Zertifizierungssystem verfügt in der Regel über vier große Subsysteme.

Subsystem Beschreibung
Kunde Der Client ist die Software, die vom Endbenutzer verwendet wird, um eine Zertifikatanforderungzu generieren, die Anforderung zu senden und das fertige Zertifikat zu empfangen. Ein Beispiel für einen Client ist Microsoft Internet Explorer, Version 5. Der Client interagiert in der Regel mit einer benutzerdefinierten Schnittstelle, die von der zwischengeschalteten Anwendung verwaltet wird.
Vermittler Der Vermittler ist ein Subsystem, das aus der zwischengeschalteten Anwendung und der Clientschnittstelle der Zertifikatdienste besteht (Zertifikatdienste-Webclient im Setupprogramm). Die zwischengeschaltete Anwendung interagiert direkt mit dem Client, empfängt Zertifikatanforderungen und gibt fertige Zertifikate zurück. Sie kommuniziert mit dem Servermodul über die Clientschnittstelle der Zertifikatdienste, die die ICertConfig- und ICertRequest- COM-Schnittstellen enthält. Ein Beispiel für eine zwischengeschaltete Anwendung ist Microsoft Internetinformationsdienste. Die zwischengeschaltete Anwendung kann vollständig über Active Server Pages implementiert werden.
Server Der Server ist das System, das das Zertifikat erstellt. Zusätzlich zum Servermodul sind zwei konfigurierbare Komponenten enthalten; das Richtlinienmodul und das Ausgangsmodul. Das Richtlinienmodul interagiert mit dem Servermodul über die schnittstellen ICertPolicy und ICertServerPolicy. Beendigungsmodule (es kann mehrere geben) interagieren mit dem Servermodul über die ICertExit und ICertServerExit Schnittstellen.
Administrativer Client Der Administrative Client ist das System, das Zertifikate und Anforderungen überwacht und verwaltet. Der administrative Client verwendet die ICertAdmin Schnittstelle, um mit dem Servermodul zu kommunizieren.

 

Weitere Informationen zur Architektur von Zertifikatdiensten finden Sie unter Kryptografieschnittstellen, Erstellen eines Zertifikatsund den folgenden Themen.

Abschnitt Inhalt
-Richtlinienmodule Anpassbare Programme, die bei der Auswertung von Zertifikatanforderungenverwendet werden können; Diese Programme erzwingen die Regeln, anhand derer Zertifikatdienste die Anforderung ausgibt oder verweigert.
Exit Modules Anpassbare Programme, die Benachrichtigungen vom Servermodul empfangen, wenn Vorgänge auftreten, z. B. wenn ein Zertifikat ausgestellt wird.
Erweiterungshandler COM-Objekte, die Routinen zum Codieren der komplexeren Erweiterungen und Datentypen bereitstellen.
Vermittler Programme, die mit Clientanwendungen kommunizieren, um die Übermittlung von Zertifikatanforderungen zu ermöglichen.