Windows 2000 公钥基础结构详解

　　定义 PKI 标准的另一个因素与 IETF 无关。这是一组事实上的加密消息标准 (PKCS)，由 RSA 实验室开发和维护 ( http://www.rsa.com/rsalabs/html/standards.html )，它已广泛部署到产品中。PKCS 标准在 1990 年首次发布，它包含加密消息的语法。与 PKI 最密切相关的标准是 PKCS-7（加密消息语法标准）和 PKCS-10（证书请求语法标准）。RSA 标准的重要性在于，它给互操作性提供了一个易于理解的基本框架。事实上，当 PKIX 工作组提出另一个用于证书管理的标准时，S/MIME 工作组就已创建了自己的基于 PKCS 的提案。这种反应是 IETF 的典型作法，反映了市场的需求。事实上的标准常常是最好的标准，Microsoft 在其现在的 PKI 实现形式中使用了这些标准，把互操作性提高到了最大。

　　希望标准过程为所有互操作性打好基础的想法无可厚非，但最终许多供应商都只是把标准的某个子集添加到产品中，创建可互操作的解决方案。在决定 PK 互操作性时，市场需求起作用的较好例子就是决定了信任模型的运做方式。

　　“基础结构”一词指 PKI 可彼此链接起来。例如，如果公司内某个部门为其应用程序选择了供应商 A 的 PKI 模型，但后来公司选择了供应商 B，用于自己的邮件系统，那么，必须有某种自然的重叠才行。当公司 A 和 B 要有选择地把其 PKI 模型合到商业专用的外部网时，情况会更复杂一些。技术复杂性在于：必须映射实体之间的信任关系（谁信任谁，为什么信任），还要始终跟踪这种关系。目前，有三种用于信任关系怎么样工作的模型，相互竞争：

　　　根层次结构（如，VeriSign、Microsoft 以及 Netscape）

　　　网络（如 Entrust）

　　　Web（如 PGP）

　　把这几种模型在文中一起讨论时，在怎么样建立和维护信任关系方面，每种信任模型均与其他模型有所不同。这涉及到这些模型是直接创建的，还是通过中介创建的；在这些技术和商业模型后面，则是关于 PKI“应该”怎么样工作的牢固信念。在标准中，要使某些基本内容都达成一致是不可能的，因此，不同信任模型可能不会执行完全无缝的互操作。至多会在给定的 PKI 中，提供充分的灵活性及辅助管理工具，使用户能够以某种方式把那些独立的信任模型集成在一起，以满足特定的商业需要。
Windows 2000 PKI 的准备工作

　　基于公钥基础结构的安全是相对新鲜的事物，实际 PKI 部署的现实示例和个案研究几乎没有。要更广泛部署 PKI，公司必须培训用户，了解密钥/证书管理问题以及与 PKI 有关的风险和责任。很多的公司可以对这些问题提供帮助。在此有一个列表： http://www.Microsoft.com/security/partners/ 。

　　用 PKI 安全获益的最常用应用程序领域之一就是电子邮件。使用 S/MIME（它基于 PKI），客户就可以发送经数字签名和加密的电子邮件。使用基于 S/MIME 的电子邮件，公司就可以着手部署 PKI，并积累经验和专业知识。

　　Microsoft 建议，要部署 PKI 的客户最好从 Microsoft Exchange Server 5.5 (SP1) 和提供基于 S/MIME 电子邮件的 Microsoft Outlook '98 入手。Exchange/Outlook 中 PKI 的重要功能有：

　　　具有内置密钥恢复功能的“密钥管理”服务器

　　　X.509v3 证书服务器

　　　基于 LDAP 的交换目录服务

　　　使用 CryptoAPI 的 S/MIME 客户 (Outlook)。

　　　带有 Outlook 的 Microsoft Exchange Server 5.5 提供了安全电子邮件以及密钥恢复功能，能设置多个“密钥管理”服务器以及一个证书信任层次结构。

　　Microsoft 把为 Exchange 用户提供一个迁移路径，使之移到更通用的 PKI 基础结构（Windows NT 5 提供的），它包括一个通用企业目录服务 (Active Directory) 以及通用企业证书颁发机构。在以后版本中，Microsoft 把使“密钥管理”服务器成为一个更通用的系统功能，使其他应用程序也能使用该功能。








 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 5 6 7 8下一页

上一篇： Windows 2000 安全设置检查清单   下一篇： Win 2000中格式化字符的安全问题

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】