Pour plus d`informations sur les magasins de certificats, consultez magasins de certificats. Les certificats sont créés dans une hiérarchie où chaque certificat individuel est lié à l`autorité de certification qui a délivré le certificat. Ce lien est au certificat de l`autorité de certification. Le certificat de l`autorité de certification lie ensuite à l`autorité de certification qui a délivré le certificat de l`autorité de certification originale. Ce processus est répété jusqu`à ce que le certificat de l`autorité de certification racine soit atteint. Le certificat de l`autorité de certification racine est intrinsèquement fiable. La méthode SetCertificate fonctionne en désignant un emplacement de magasin et un magasin, un type «Find» (paramètre x509FindType) qui spécifie un champ du certificat et une valeur à rechercher dans le champ. Par exemple, le code suivant crée une instance ServiceHost et définit le certificat de service utilisé pour authentifier le service aux clients avec la méthode SetCertificate. Créez un certificat d`autorité racine temporaire (auto-signé) à l`aide de la cmdlet New-SelfSignedCertificate. Enregistrez la clé privée sur le disque. Avec cette fonctionnalité activée, vous pouvez définir la propriété MapClientCertificateToWindowsAccount de la classe X509ClientCertificateAuthentication sur true. Dans la configuration, vous pouvez définir l`attribut mapClientCertificateToWindowsAccount de l` élément sur true, comme illustré dans le code suivant.
Un fournisseur de certificat émettra un certificat de classe de validation d`organisation (OV) à un acheteur si l`acheteur peut répondre à deux critères: le droit de gérer administrativement le nom de domaine en question, et peut-être, l`existence réelle de l`organisation en tant que Entité. Un fournisseur de certificats publie ses critères d`examen OV via sa stratégie de certificat. Les certificats peuvent également être utilisés pour valider des signatures sur des programmes pour s`assurer qu`ils n`ont pas été falsifiés pendant la livraison. L`adresse Internet principale (nom de domaine du site Web) est répertoriée comme nom commun dans le champ objet du certificat. Un certificat peut être valide pour plusieurs noms d`hôte (plusieurs sites Web). Ces certificats sont communément appelés certificats de nom alternatif de sujet (SAN) ou certificats de communications unifiées (UCC). Ces certificats contiennent le champ autre nom de l`objet, bien que de nombreuses autorités de certification les placent également dans le champ nom commun du sujet pour la compatibilité descendante. Si certains des noms d`hôte contiennent un astérisque (*), un certificat peut également être appelé un certificat générique.
Lorsque cela se produit, toutes les chaînes qui descendent du certificat révoqué sont également invalides et ne sont pas approuvées pendant les procédures d`authentification. Pour savoir quels certificats sont révoqués, chaque émetteur publie une liste de révocation de certificats (CRL) horodatée et horodatée. La liste peut être vérifiée à l`aide d`une révocation en ligne ou d`une révocation hors connexion en définissant la propriété RevocationMode ou DefaultRevocationMode des classes suivantes sur l`une des valeurs d`énumération X509RevocationMode: X509ClientCertificateAuthentication, X509PeerCertificateAuthentication, X509ServiceCertificateAuthentication et les classes IssuedTokenServiceCredential. La valeur par défaut pour toutes les propriétés est en ligne. Les certificats numériques sont utilisés pour authentifier une entité en s`appuyant sur cette hiérarchie, également appelée chaîne de confiance. Vous pouvez afficher la chaîne de n`importe quel certificat à l`aide du composant logiciel enfichable MMC en double-cliquant sur un certificat, puis en cliquant sur l`onglet chemin de certificat. Pour plus d`informations sur l`importation de chaînes de certificats pour une autorité de certification, consultez Comment: spécifier la chaîne de certificat de l`autorité de certificat utilisée pour vérifier les signatures. La Division de la sécurité informatique de l`Institut national des normes et de la technologie (NIST) [11] fournit des documents d`orientation pour les certificats de clé publique: les autorités de certification sont également chargées de maintenir des informations à jour sur la révocation certificats qu`ils ont délivrés, indiquant si les certificats sont toujours valides.
Ils fournissent ces informations par l`intermédiaire du protocole d`état de certificat en ligne (OCSP) et/ou des listes de révocation de certificat (CRL). Pour plus d`informations sur l`utilisation du mappage Active Directory, consultez mappage de certificats clients avec le mappage de service d`annuaire.
