Condividi tramite

Compilazione di un certificato

  • Articolo

L'ordine delle chiamate nella compilazione di un certificato è il seguente:

  1. L'autorità di certificazione (CA) inizializza i moduli tramite chiamate a ICertPolicy e ICertExit (si verifica una volta all'inizializzazione del server). L'autorità di certificazione inizializza i criteri e chiude i moduli chiamando ICertPolicy2::Initialize e ICertExit::Initialize.
  2. Intermediario chiama la CA tramite ICertConfig (avviene una volta per inizializzazione intermedia). L'intermediario trova la stringa di configurazione necessaria chiamando ICertConfig::GetConfig.
  3. Il client chiama l'intermediario tramite un'interfaccia specifica dell'intermediario (avviene una volta per richiesta). Il client invia una richiesta di certificato all'intermediario. Può trattarsi, ad esempio, di Microsoft Internet Explorer che invia una richiesta tramite il controllo di registrazione certificati a Microsoft Internet Information Services.
  4. Intermediario alla CA tramite ICertRequest (avviene una volta per richiesta). L'intermediario invia la richiesta di certificato alla CA tramite ICertRequest::Submit. Nel caso di Internet Information Services, questa operazione può essere eseguita tramite script di Pagine server attive.
  5. La CA chiama il modulo criteri tramite l'interfaccia ICertPolicy (viene eseguita una volta per richiesta). L'autorità di certificazione notifica al modulo criteri che una richiesta è arrivata chiamando ICertPolicy::VerifyRequest. Il modulo criteri può esaminare la richiesta e modificare il certificato chiamando i metodi dell'interfaccia ICertServerPolicy . Il modulo criteri può quindi indicare che la richiesta è OK (in tal caso, il certificato viene compilato a questo punto), la richiesta deve essere negata o la richiesta deve essere sospesa.
  6. (Facoltativo) L'amministratore chiama la CA tramite l'interfaccia ICertAdmin . Se la richiesta viene sospesa, l'amministratore può inviare o negare la richiesta oppure modificare gli attributi e le estensioni della richiesta. Si noti che se la richiesta viene inviata di nuovo, il modulo criteri avrà un'altra opportunità per elaborare la richiesta (a seguito di una chiamata a ICertPolicy::VerifyRequest). L'attività di inviare o negare la richiesta può essere eseguita tramite lo snap-in MMC autorità di certificazione o un'altra applicazione che usa ICertAdmin.
  7. La CA chiama il modulo exit tramite l'interfaccia ICertExit . Se il modulo di uscita ha indicato (quando è stato chiamato ICertExit::Initialize , nel passaggio 1) che è interessato a visualizzare i certificati rilasciati o le richieste mantenute in sospeso, la CA chiamerà ICertExit::Notify.
  8. Il modulo di uscita chiama la CA tramite l'interfaccia ICertServerExit . Il modulo exit può esaminare la richiesta e il nuovo certificato chiamando i metodi di ICertServerExit.