Eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) ist ein System aus digitalen Zertifikaten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen, mit denen die Gültigkeit jeder Entität überprüft und authentifiziert wird, die an einer elektronischen Übertragung mithilfe der Kryptografie mit öffentlichem Schlüssel beteiligt ist. Die PKI-Standards werden ständig weiterentwickelt, obwohl sie als notwendiger Bestandteil des E-Commerce weit verbreitet sind. Weitere Informationen zum Planen einer PKI und zum Verwenden der Kryptografie mit öffentlichem Schlüssel finden Sie unter Active Directory-Zertifikatsdienste-Ressourcen.
Die Microsoft-PKI unterstützt ein hierarchisches Zertifizierungsstellenmodell, das skalierbar ist und mit einer zunehmenden Anzahl an kommerziellen und anderen Zertifizierungsstellenprodukten Konsistenz bietet.
In ihrer einfachsten Form besteht eine Zertifizierungsstellenhierarchie aus einer einzigen Zertifizierungsstelle. Eine Hierarchie enthält jedoch meist mehrere Zertifizierungsstellen mit klar definierten Beziehungen zwischen den über- und untergeordneten Zertifizierungsstellen. In diesem Modell werden die untergeordneten Zertifizierungsstellen durch Zertifikate ihrer übergeordneten Zertifizierungsstelle zertifiziert, die den öffentlichen Schlüssel einer Zertifizierungsstelle an ihre Identität binden. Die Zertifizierungsstelle, die sich an der obersten Position in einer Hierarchie befindet, wird als Stammzertifizierungsstelle bezeichnet. Die Zertifizierungsstelle unterhalb einer Stammzertifizierungsstelle wird als untergeordnete Zertifizierungsstelle bezeichnet. Weitere Informationen finden Sie unter Zertifizierungsstellentypen.
Wenn Sie in Windows einer Stammzertifizierungsstelle vertrauen (indem ihr Zertifikat im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen abgelegt ist), vertrauen Sie jeder untergeordneten Zertifizierungsstelle, die über ein gültiges Zertifizierungsstellenzertifikat in der Hierarchie verfügt. Eine Stammzertifizierungsstelle ist somit ein sehr wichtiges Vertrauenskriterium in einer Organisation und sollte entsprechend gesichert werden. Weitere Informationen finden Sie unter Zertifizierungsstellenzertifikate.
Es gibt mehrere praktische Gründe zum Einrichten mehrerer untergeordneter Zertifizierungsstellen. Dazu zählen die folgenden:
-
Verwendung Zertifikate werden für viele Zwecke ausgestellt, z. B. zur sicheren E-Mail- und Netzwerkauthentifizierung. Die Ausstellungsrichtlinien für diese Verwendungen können unterschiedlich sein. Eine Trennung dieser Richtlinien bietet hier die Grundlage für deren Verwaltung.
-
Organisationsabteilungen Es kann je nach der Rolle einer Entität in einer Organisation unterschiedliche Richtlinien für die Ausstellung von Zertifikaten geben. Sie können wieder untergeordnete Zertifizierungsstellen erstellen, um diese Richtlinien zu trennen und zu verwalten.
-
Geografische Abteilungen Organisationen können über Entitäten an verschieden physikalischen Standorten verfügen. Die Netzwerkkonnektivität zwischen diesen Standorten kann individuelle untergeordnete Zertifizierungsstellen für viele oder alle Standorte erfordern.
-
Lastenausgleich Wenn die PKI zur Ausstellung und Verwaltung einer großen Anzahl von Zertifikaten verwendet wird und Sie nur über eine Zertifizierungsstelle verfügen, kann es zu einer beträchtlichen Netzwerkauslastung dieser einzelnen Zertifizierungsstelle kommen. Durch die Verwendung mehrerer untergeordneter Zertifizierungsstellen zur Ausstellung gleichartiger Zertifikate wird die Netzwerklast auf die Zertifizierungsstellen verteilt.
-
Sicherung und Fehlertoleranz Mehrere Zertifizierungsstellen erhöhen die Möglichkeit, dass im Netzwerk immer betriebsbereite Zertifizierungsstellen verfügbar sind, um auf Benutzeranforderungen zu reagieren.
Eine Zertifizierungsstellenhierarchie kann auch Verwaltungsvorteile bieten. Dazu zählen die folgenden:
-
Flexible Konfiguration der Sicherheitsumgebung der Zertifizierungsstelle für ein ausgeglichenes Verhältnis zwischen Sicherheit und Verwendbarkeit. Möglicherweise möchten Sie z. B. spezielle kryptografische Hardware für eine Stammzertifizierungsstelle bereitstellen und diese in einem physikalisch sicheren Bereich oder offline bedienen. Diese Hardware kann für untergeordnete Zertifizierungsstellen aus Kosten- oder Verwendbarkeitsgründen unzulässig sein.
-
Die Fähigkeit, einen bestimmten Teil der Zertifizierungsstellenhierarchie ohne Auswirkungen auf eingerichtete Vertrauensstellungen "ausschalten" zu können. Sie können beispielsweise ein ausstellendes Zertifizierungsstellenzertifikat, das mit einer bestimmten Unternehmenseinheit verknüpft ist, ganz einfach ohne Auswirkungen auf andere Teile der Organisation herunterfahren und sperren.