憑證服務架構

憑證服務是針對企業或安全網際網路應用程式建置憑證授權單位單位的開發平臺。 已設定和操作的憑證授權單位單位可讓網站發出、追蹤、管理及撤銷憑證,且管理額外負荷最低且安全性最高。

憑證服務包含伺服器引擎、伺服器資料庫,以及一組模組和工具,可一起運作,以作為憑證授權單位單位。 外部應用程式、模組和管理工具會使用元件物件模型 (COM) 介面來與伺服器引擎互動。 下圖顯示伺服器引擎所使用的介面:

certificate services architecture

作業認證系統通常會有四個主要子系統。

Subsystem Description
用戶端 用戶端是使用者用來產生 憑證要求、傳送要求,以及接收完成憑證的軟體。 用戶端的範例是 Microsoft Internet Explorer 第 5 版。 用戶端通常會與中繼應用程式維護的自訂介面互動。
仲介 中繼是一種子系統,由中繼應用程式和憑證服務用戶端介面所組成, (安裝程式中的 憑證服務 Web 用戶端) 。 中繼應用程式會直接與用戶端互動、接收憑證要求並傳回已完成的憑證。 它會透過憑證服務用戶端介面與伺服器引擎通訊,其中包含 ICertConfigICertRequest COM 介面。 中繼應用程式的範例是Microsoft Internet Information Services。 中繼應用程式可以透過 Active Server Pages 完全實作。
伺服器 伺服器是建置憑證的系統。 除了伺服器引擎之外,還包含兩個可設定的元件;原則模組和結束模組。 原則模組會透過 ICertPolicyICertServerPolicy 介面與伺服器引擎互動。 結束模組 (可以有多個) 透過 ICertExitICertServerExit 介面與伺服器引擎互動。
系統管理用戶端 系統管理用戶端是監視和管理憑證和要求的系統。 系統管理用戶端會使用 ICertAdmin 介面與伺服器引擎通訊。

 

如需憑證服務架構的詳細資訊,請參閱 加密介面建置憑證和下列主題。

區段 Content
原則模組 可在評估 憑證要求期間使用的可自訂程式;這些程式會強制執行憑證服務發出或拒絕要求的規則。
結束模組 可自訂的程式會在作業發生時接收來自伺服器引擎的通知,例如發出憑證時。
擴充處理常式 提供編碼較複雜延伸模組和資料類型之常式的 COM 物件。
媒介 與用戶端應用程式通訊以允許提交憑證要求的程式。