Condividi tramite


Autorità di certificazione

Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. La CA autentica un'entità e garantisce l'identità rilasciando un certificato firmato digitalmente. La CA può anche gestire, revocare e rinnovare i certificati.

Una CA può essere pubblica o privata. Una CA pubblica fornisce servizi di certificazione, in genere per una tariffa, al pubblico tramite Internet. Una CA privata fornisce questo servizio ai membri di una popolazione delimitata, ad esempio i dipendenti di un'azienda o membri di un altro gruppo privato.

Il modo in cui un'autorità di certificazione autentica un utente finale è varia e non rientra nell'ambito di questa documentazione. Tuttavia, i metodi di autenticazione variano in base al tipo di provider. Ad esempio, una CA privata può stabilire l'identità degli utenti finali facendo riferimento a un elenco di gruppi, ad esempio un database dipendente o Active Directory. I metodi di autenticazione eseguiti da una CA pubblica sono in genere più complessi e dipendono in parte dal livello di garanzia promesso dal certificato.

Man mano che la popolazione di un'infrastruttura a chiave pubblica (PKI) aumenta, può diventare difficile per una singola CA gestire in modo efficace tutti i certificati rilasciati. La CA può compensare autorizzando altre ca nell'infrastruttura a chiave pubblica per rilasciare certificati. La CA iniziale è denominata radice e le ca autorizzate vengono denominate subordinate. Le ca subordinate possono anche designare le proprie filiali entro i limiti impostati dalla radice. La struttura risultante è denominata gerarchia di certificati. I certificati rilasciati alle CA inferiori nella gerarchia contengono certificati sufficienti per tracciare un percorso alla radice. Si tratta di una catena di certificati.

Il termine autorità di certificazione può fare riferimento all'organizzazione che garantisce l'identità di un utente finale e il server usato dall'organizzazione per rilasciare e gestire i certificati. Un server Windows può essere configurato in modo da fungere da server CA e questa documentazione si riferisce in genere al server quando si usa il termine CA.

L'API Di registrazione certificati interagisce principalmente con una CA usando l'oggettoIX509Enrollment. Il metodoEnrollsu questo oggetto può codificare automaticamente una richiesta di certificato, inviarla alla CA e installare il certificato emesso. È anche possibile usare un IX509Enrollment oggetto per la registrazione fuori banda o per la registrazione ritardata. Inoltre, è possibile usare l'oggetto IX509EnrollmentStatus per monitorare lo stato della registrazione.

elementi PKI