Eine Zertifizierungsstelle (Certification Authority, CA) akzeptiert eine Zertifikatanforderung, überprüft die Informationen des Anforderers in Bezug auf die Richtlinie der Zertifizierungsstelle und verwendet dann ihren privaten Schlüssel, um ihre digitale Signatur auf das Zertifikat anzuwenden. Anschließend stellt die Zertifizierungsstelle das Zertifikat seinem Antragsteller aus, damit es als Sicherheitsanmeldeinformation in einer Public Key-Infrastruktur (Public Key Infrastructure, PKI) verwendet werden kann. Eine Zertifizierungsstelle ist auch für das Sperren von Zertifikaten und Veröffentlichen einer Zertifikatsperrliste (Certificate Revocation List, CRL) verantwortlich.
Bei einer Zertifizierungsstelle kann es sich entweder um eine externe Entität (z. B. VeriSign) oder um eine Zertifizierungsstelle handeln, die Sie für die Verwendung in Ihrer Organisation erstellen, indem Sie die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) installieren. Jede Zertifizierungsstelle kann unterschiedliche Identitätsnachweisanforderungen (z. B. Domänenkonto, Mitarbeiterkennzeichen, Führerscheinnummer, beglaubigte Anforderung oder physikalische Adresse) an Zertifikatanforderer stellen. Derartige Identitätsüberprüfungen autorisieren meist eine lokale Zertifizierungsstelle, sodass Organisationen ihre eigenen Mitarbeiter oder Mitglieder überprüfen können.
Microsoft Unternehmenszertifizierungsstellen verwenden als Identitätsnachweis die Anmeldeinformationen des Benutzerkontos einer Person. Das heißt, wenn Sie in einer Domäne angemeldet sind und von einer Unternehmenszertifizierungsstelle ein Zertifikat anfordern, kann die Zertifizierungsstelle Ihre Identität anhand Ihres Kontos in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) authentifizieren.
Außerdem verfügt jede Zertifizierungsstelle über ein Zertifikat zur Bestätigung ihrer eigenen Identität, das von einer anderen vertrauenswürdigen Zertifizierungsstelle oder im Falle einer Stammzertifizierungsstelle von ihr selbst ausgestellt wurde. Beachten Sie, dass jeder eine Zertifizierungsstelle erstellen kann. Deshalb muss ein Benutzer oder Administrator entscheiden, ob dieser Zertifizierungsstelle und darüber hinaus den Richtlinien und Verfahren dieser Zertifizierungsstelle zur Bestätigung der Identität der Entitäten, denen von dieser Zertifizierungsstelle Zertifikate ausgestellt werden, vertraut werden kann.
Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen
Eine Stammzertifizierungsstelle gehört zu den vertrauenswürdigsten Zertifizierungsstellentypen in der Public Key-Infrastruktur einer Organisation. Wenn die Stammzertifizierungsstelle manipuliert wird oder einer nicht autorisierten Entität ein Zertifikat ausstellt, ist jede Sicherheit in Ihrer Organisation, die auf Zertifikaten basiert, gefährdet. Deshalb sind die physikalische Sicherheit und die Zertifikatausstellungsrichtlinien für eine Stammzertifizierungsstelle normalerweise strenger als die für untergeordnete Zertifizierungsstellen. Obwohl Stammzertifizierungsstellen verwendet werden können, um Endbenutzern Zertifikate für Aufgaben wie das Senden sicherer E-Mails auszustellen, werden sie in den meisten Organisationen nur zum Ausstellen von Zertifikaten für andere Zertifizierungsstellen (als untergeordnete Zertifizierungsstellen bezeichnet) verwendet.
Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, der von einer anderen Zertifizierungsstelle in Ihrer Organisation ein Zertifikat ausgestellt wurde. In der Regel stellt eine untergeordnete Zertifizierungsstelle Zertifikate für eine bestimmte Verwendung (z. B. sichere E-Mails, webbasierte Authentifizierung oder Smartcardauthentifizierung) aus. Untergeordnete Zertifizierungsstellen können auch Zertifikate an Zertifizierungsstellen ausstellen, die ihnen untergeordnet sind. Eine Stammzertifizierungsstelle, die untergeordneten Zertifizierungsstellen, die von der Stammzertifizierungsstelle zertifiziert wurden, und die untergeordneten Zertifizierungsstellen, die von anderen untergeordneten Zertifizierungsstellen zertifiziert wurden, bilden zusammen eine Zertifizierungshierarchie.
Weitere Informationen zu Zertifizierungshierarchien finden Sie unter Public Key-Infrastrukturen.
Unternehmenszertifizierungsstellen und eigenständige Zertifizierungsstellen
Diese AD CS-Version unterstützt die Installation von eigenständigen Zertifizierungsstellen und Unternehmenszertifizierungsstellen. Weitere Informationen zu den Betriebseigenschaften von Unternehmenszertifizierungsstellen und eigenständigen Zertifizierungsstellen finden Sie unter Unternehmenszertifizierungsstellen und Eigenständige Zertifizierungsstellen.