PKI概述

CS角色:
1,CA
這個組件將證書頒發給用戶,計算機,服務,它還可以用來管理證書的有效性.多個CA能夠通過鏈接構成一個分層的PKI結構
2,CA Web註冊
這個組件爲用戶,計算機,設備頌發和續簽證書 ,設備可以是未加域的,也可以是沒有直接連接到內部網絡的,或者非Windows操作系統的.
3,在線應答器(OCSP)
可以使用這個組件來配置和管理OCSP校驗和吊銷檢查,在線應答器將特定證書的吊銷狀態請求進行解碼,然後評傳這些證書的狀態,並將請求的證書證書的狀態信息簽名後返回給請求方,在線應答器可以Windows2012的任何版本中使用,使用在線應答器時,證書 的吊銷數據可以從一臺CA服務器上獲取,CA服務器的系統可以是Windows2003,Windows2008,甚至可以是一個非微軟的CA服務器.
4,網絡設備註冊服務(NDES Network Device Enrollment Service),通過這個組件,路由器,交換機以及其他的網絡設備都可以從AD CS中獲取證書,如果操作系統使用的是Windows2008R2,那麼這個角色只能在企業版和數據中心版上使用,但是Windows2012的所有版本都可以使用這個角色.
5,證書註冊Web服務(CES Certificate Enrollment Web Service)
這個組件作爲Windwos 7和Windows 8客戶端與CA服務器之間的一個代理,它最初出現在Windows 2008R2版本中,要使用此功能AD林的功能級別必須是Windows 2008R2以上,它能夠讓用戶通過瀏覽器連接到CA執行以下操作:
A,申請,續簽,安裝頌發的證書
B,獲取CRL
C,下載根證書
D,通過internet註冊證書,或跨林註冊證書.
6,證書註冊Web服務(CEP Certificate Enrollment Policy Web Service)
這個組件也是從Windows2008的時候出現的,允許用戶獲得證書註冊生命力的信息.它和CES結合在一起使非域或未連接到域 的客戶端計算機進行基於生命力的證書註冊.
TPM:
Windows2012支持生成受信任平臺模塊(TPM Trusted Platform Module) 此功能使用基於TPM的祕鑰存儲提供器來保護祕鑰.使用基於TPM祕鑰存儲提供器的好處是真正實現祕鑰的不可導出性,所有的祕鑰都是由TPM機制支持,所有的祕鑰都是由TPM機制支持,這樣能夠有效的阻止那些多次使用錯誤PIN碼訪問的用戶.如果想更進一步加強安全性,可以對所有發給Windows2012 AD CS的證書請求強制加密.
智慧卡
智慧卡能夠提供比密碼更強的安全性.因爲未授權的用戶很難獲得和保持對訪問,此外想要訪問被智慧卡保護的系統,要求用戶擁有一個有效的卡並知道訪問卡所需的PIN碼.智慧卡默認只會有一個副本存在,所以在同一時間只能有一個用戶能夠使用登錄憑證,因此如果用戶的卡被盜了還是遺失了,他很快就會知道卡究竟是被盜了還是遺失了.
虛擬智慧卡
Windows2012中,虛擬智慧卡利用的是計算機主板上的TPM芯片的功能,這個芯片在近兩年生產的主板中都已經集成了,所以它不需要你專門花錢去買智慧卡和讀卡器,但是它與傳統的智慧卡不同的是,傳統智慧卡的用戶必須物理的戰勝智慧卡,而虛擬智慧卡是由主板上的TPM芯片來充當智慧卡的角色, 同樣達到雙重因素驗證的效果,它與物理智慧卡結合PIN碼的效果是類似的.啓用了虛擬智慧卡的用戶,必須有一臺計算機,並且要知道虛擬智慧卡的PIN碼.
理解虛擬智慧卡如何保護私鑰是很重要的,傳統的智慧卡擁有自己的存儲和加密機制來保護私鑰,而虛擬智慧卡中,它不是使用獨立的物理內存來保護私鑰,而是TPM的加密功能,TPM會將保存在智慧卡中的所有第三信息進行加密,然後以它的加密格式將信息保存在硬盤上,雖然私鑰是以TPM的加密格式保存在硬盤上的,但是所有的加密操作都是在一個安全獨立的TPM環境中發生的.不會未經過加密就離開這個環境的,萬一計算機的硬盤被人破解了,是不可訪問的,因爲是TPM對保護和加密.
什麼是Cross-Certification (交叉驗證)層次?
根據這個名稱我們可以猜想到,Cross-Certification 層次應該是在CA層次中的某臺根CA將一個Cross-Certification 提交給另一個CA層次中的根CA,另一個層次中的根CA將收到 的證書安裝,經過這個步驟後,信任關係會從安裝了證書的層級向下傳遞到所有的從屬CA.
Cross-Certification的優勢:
A,在企業之間以及PKI產品之間提供了交互操作功能.
B,將完全不同的PKI關聯起來.
C,爲外部的CA層次構建完全的信任.
企業通常部署Cross-Certification 在PKI層次上建立一個相互信任,以及部署某些依賴與PKI的應用程序,比如在企業之間建立SSL會話,或者用於交換數字簽名文檔的時候.