憑證服務架構
憑證服務是建置企業證書頒發機構單位或安全因特網應用程式的開發平臺。 已設定且可作的證書頒發機構單位可讓月臺發出、追蹤、管理及撤銷憑證,且管理額外負荷最低且安全性最高。
憑證服務包含伺服器引擎、伺服器資料庫,以及一組模組和工具,共同運作以作為證書頒發機構單位。 外部應用程式、模組和管理工具會使用元件物件模型 (COM) 介面來與伺服器引擎互動。 下圖顯示伺服器引擎所使用的介面:
作業認證系統通常會有四個主要子系統。
| 子系統 | 描述 |
|---|---|
| 客戶 | 用戶端是使用者用來產生 憑證要求的軟體,、傳送要求,以及接收完成的憑證。 用戶端的範例是Microsoft Internet Explorer 第 5 版。 用戶端通常會與中繼應用程式維護的自定義介面互動。 |
| 仲介 | 中繼是由中繼應用程式和憑證服務用戶端介面所組成的子系統(安裝程式中的憑證服務 Web 用戶端)。 中繼應用程式會直接與客戶端互動、接收憑證要求及傳回已完成的憑證。 它會透過憑證服務用戶端介面與伺服器引擎通訊,其中包含 ICertConfig 和 ICertRequest COM 介面。 中繼應用程式的範例是Microsoft Internet Information Services。 中繼應用程式可以透過 Active Server Pages 完全實作。 |
| 伺服器 | 伺服器是建置憑證的系統。 除了伺服器引擎之外,還包含兩個可設定的元件:原則模組和結束模組。 原則模組會透過 ICertPolicy 與伺服器引擎互動,ICertServerPolicy 介面。 結束模組 (可以有多個)透過 ICertExit 與伺服器引擎互動,並 ICertServerExit 介面。 |
| 系統管理用戶端 | 系統管理客戶端是監視和管理憑證和要求的系統。 系統管理用戶端會使用 ICertAdmin 介面來與伺服器引擎通訊。 |
如需憑證服務架構的詳細資訊,請參閱 加密介面、建置憑證和下列主題。
| 部分 | 內容 |
|---|---|
| 原則模組 | 可在評估 憑證要求期間使用的可自定義程式;這些程式會強制執行憑證服務發出或拒絕要求的規則。 |
| 結束模組 | 可自定義的程式會在作業發生時接收來自伺服器引擎的通知,例如發出憑證時。 |
| 延伸模組處理程式 | 提供編碼較複雜延伸模組和數據類型之例程的 COM 物件。 |
| 中介機構 | 與用戶端應用程式通訊以允許提交憑證要求的程式。 |