中継局

仲介者はクライアント アプリケーションと通信して 、証明書要求を送信できるようにし、発行された証明書をクライアントにダウンロードするために (要求の結果が発行された証明書であると仮定して) 通信します。 各トランスポート層プロトコルには、独自の中継局が必要です。

Microsoft Certificate Services には、HTTP の中継局 (Web 登録ページ) が付属しています。 仲介者のもう 1 つの例は、Microsoft Windows 証明書 MMC スナップインです (証明書要求ウィザードを呼び出すことができます)。 証明書サービスで他のトランスポート層プロトコルを使用する場合、開発者は目的のトランスポート層プロトコルごとに中間を作成できます。

中継局は、サーバー エンジンによって提供される ICertRequest インターフェイスと ICertConfig インターフェイスを使用して証明書サービスと通信します。 ICertRequest::Submit メソッドを使用して証明書要求を送信し、結果として発行された証明書を取得するために ICertRequest::GetCertificate を使用します。 同様に、 ICertConfig::GetConfig を使用して、証明書の発行に使用できる証明機関を決定します。

仲介者は言語に依存しません。 これは、C++、Visual Basic、Java、スクリプト、または別の言語で記述されたプログラムである場合があります。

クライアントからデータを収集して証明書要求を作成するだけでなく、仲介者は要求属性を指定できます。 エンタープライズ ポリシー モジュールを実行している 証明機関 に送信された要求は、要求自体に "CertificateTemplate" 属性または証明書テンプレート拡張機能を指定して要求された証明書の種類を示す必要があります。

証明書要求の作成時に、開発者 (および仲介者) は秘密キーの秘密を維持する責任があることに注意してください。 秘密キーが侵害された後 (秘密を失った)、それは役に立ちません。

Certificate Services Web 登録ページでは、 証明書登録インターフェイスを使用します。このインターフェイスは、秘密キーをワークステーションで生成することによって保護します。 証明書登録制御では、秘密キーの秘密を維持するだけでなく、仲介者が暗号化サービス プロバイダー、キーの指定、キー強度、ハッシュ アルゴリズムを指定できます。

証明書 MMC スナップインでは、証明書登録制御 (Xenroll.dll) も使用されます。 ただし、Certificate Services Web 登録ページを使用すると、必要に応じて証明書登録制御リソース (Xenroll.dll) がクライアントにダウンロードされます。証明書 MMC スナップインは、Xenroll.dllが既に使用可能なリソースである環境で実行されます。

ICertRequest と ICertConfig に加えて、仲介者の開発者は、証明書登録インターフェイスとスマート カード登録コントロールが役立つ場合があります。