次の方法で共有


証明機関

証明機関 (CA) は、ユーザー、コンピューター、および組織の ID を証明する責任があります。 CA はエンティティを認証し、デジタル署名された証明書を発行することで、その ID を保証します。 CA は証明書の管理、取消、更新もできます。

CA は、パブリックまたはプライベートにすることができます。 パブリック CA は、通常は有料の認定サービスをインターネット経由で一般に提供します。 プライベート CA は、ビジネスの従業員や他のプライベート グループのメンバーなど、区切られた母集団のメンバーにこのサービスを提供します。

CA がエンド ユーザーを認証する手段は、このドキュメントの範囲を超えて多様です。 ただし、認証方法はプロバイダーの種類によって明らかに異なります。 たとえば、プライベート CA は、従業員データベースや Active Directory などのグループ名簿を参照することで、エンド ユーザーの ID を確立できます。 一般に、パブリック CA によって実行される認証方法はより複雑であり、証明書によって約束されている保証のレベルに部分的に依存します。

公開キー インフラストラクチャ (PKI) の人口が増えるにつれて、1 つの CA が発行したすべての証明書を効果的に管理することが困難になる可能性があります。 CA は、PKI 内の他の CA に証明書の発行を許可することで補償できます。 最初の CA はルートと呼ばれ、承認する CA は下位と呼ばれます。 下位 CA は、ルートによって設定された制限内で独自の子会社を指定することもできます。 結果の構造は、証明書階層と呼ばれます。 階層内の下位の CA に発行された証明書には、ルートへのパスをトレースするのに十分な証明書が含まれています。 これは証明書チェーンと呼ばれます。

"証明機関" という用語は、エンド ユーザーの ID を保証するorganizationと、証明書の発行と管理にorganizationによって使用されるサーバーの両方を指すことができます。 Windows サーバーは CA サーバーとして機能するように構成できます。このドキュメントでは、通常、CA という用語を使用する場合にサーバーを参照します。

証明書登録 API は、主に IX509Enrollment オブジェクトを使用して CA と対話します。 このオブジェクトの Enroll メソッドは、証明書要求を自動的にエンコードし、CA に送信して、発行された証明書をインストールできます。 帯域外登録または遅延登録には、初期化された IX509Enrollment オブジェクトを使用することもできます。 さらに、 IX509EnrollmentStatus オブジェクトを使用して、登録状態を監視できます。

PKI 要素