Public Key Infrastructure (PKI) - un sistem de certificate digitale, autoritățile de certificare și autoritățile de înregistrare care verifică și confirmă identitatea fiecărei entități implicate într-o tranzacție electronică, prin utilizarea criptografiei cu chei publice. Standardele pentru PKI sunt încă în evoluție, în ciuda faptului că acestea sunt puse în aplicare pe scară largă ca un element necesar al comerțului electronic. Pentru mai multe informații despre planificarea PKI și utilizarea de chei publice criptografia cm. Resurse Active Directory Services certificat.
În forma sa cea mai simplă, o ierarhie de certificare constă dintr-o autoritate de certificare unică. Dar ierarhia conține frecvent mai multe CAs cu relații clar definite „părinte-copil“. În acest model, CA subordonat copilului certificat printr-un certificat emis de CA-mamă și se leagă cheia publică identitatea. Centrul de certificare, situat pe partea de sus a ierarhiei se numește autoritatea de certificare rădăcină. Copilul CA CA rădăcină se numește o autoritate de certificare subordonată. Pentru mai multe informații, consultați. Tipuri de CA.
În Windows, în cazul în care utilizatorul are încredere autoritatea de certificare rădăcină (certificatul său este în magazin de utilizator pentru Root certificat Autoritățile de Certificare de încredere), el are încredere și toate subordonate ierarhiei de certificare centre cu un certificat CA valid. Prin urmare, CA rădăcină este un punct foarte important de încredere într-o organizație și ar trebui să fie protejate în mod corespunzător. Pentru mai multe informații, consultați. Certificat CA.
Există mai multe motive practice pentru a crea mai multe CAs subordonate, inclusiv:
- Utilizați. Certificatele pot fi emise pentru un număr de scopuri, cum ar fi e-mail securizat și autentificare de rețea. Problemă legată de politică pentru aceste aplicații pot fi diferite, iar această diferență este baza pentru administrarea acestor politici.
CA ierarhie poate oferi, de asemenea, o serie de avantaje din punctul de vedere al administrației, inclusiv:
- Configurarea flexibilă a mediului de securitate CA pentru a regla echilibrul dintre securitate și gradul de utilizare. De exemplu, puteți utiliza un hardware criptografic special pe o CA rădăcină, utilizați CA rădăcină într-o zonă sigură punct de vedere fizic, sau în mod autonom. Această abordare poate fi inacceptabilă pentru CAs subordonate din motive de costuri sau comoditate.