建立和配置Windows PKI
PKI的一个关键部分是Microsoft证书服务。它支持部署一个或多个企业级CA。这些CA支持证书的颁发和吊销。它们与Active Directory集成在一起,Active Directory提供CA的位置信息、CA的策略,并公布颁发证书和吊销证书的信息。
PKI并未取代现有基于域控制器(DC)和Kerberos密钥分发中心(KDC)的Windows NT域信任和身份验证机制,而是与这些服务配合使用,增强了性能,使应用程序得以方便地扩展,以满足extranet和Internet的需求。尤其值得一提的是,PKI满足了对于扩展的分布式标识和身份验证、完整性和保密性的需求。
在运行Windows Server 2003、Windows XP、Windows 2000或Windows NT的工作站和服务器以及运行Windows 95和Windows 98的工作站上均支持创建、部署和管理基于PKI的应用程序。Microsoft CryptoAPI是这些服务的基础。它为可安装的加密服务提供程序(cryptographic service provider,CSP)的加密功能提供标准接口。这些CSP可能是基于软件的,或利用加密硬件设备实现的。它们能够支持各种算法和密钥强度。有些与Windows 2003一起发行的CSP就利用支持Microsoft PC/SC的智能卡基础结构。
在加密服务层上是一组证书管理服务。这些服务支持X.509 v3标准证书,提供永久存储、枚举服务以及解码支持。最上层是用于处理标准工业消息格式的服务。这些服务主要是用来支持PKGS标准以及发展中的Internet工程任务组(IETF)PKI X.509(PKIX)草案标准。
注意:关于IETF和X.509的更多信息,请查看网站www.ietf.org。
其他服务使用CryptoAPI为应用程序开发人员提供其他的功能。安全通道(schannel)使用工业标准的TLS和SSL协议来支持网络身份验证和加密。可用Microsoft WinInet接口访问这些服务,以便通过SSPI接口与HTTP协议(HTTPS)或与其他协议一起使用。Authenticode支持对象签名和身份验证。虽然也可用于其他环境,但它主要用于确定Internet下载组件的来源和完整性。同时还支持通用智能卡接口。这些接口以一种与应用程序无关的方式集成加密智能卡,同时也是集成Windows 2003中智能卡登录的基础。