PKI概述

CS角色:
1,CA
這個組件將證書頒發給用戶,計算機,服務,它還能夠用來管理證書的有效性.多個CA可以經過連接構成一個分層的PKI結構
2,CA Web註冊
這個組件爲用戶,計算機,設備頌發和續簽證書 ,設備能夠是未加域的,也能夠是沒有直接鏈接到內部網絡的,或者非Windows操做系統的.
3,在線應答器(OCSP)
可使用這個組件來配置和管理OCSP校驗和吊銷檢查,在線應答器將特定證書的吊銷狀態請求進行解碼,而後評傳這些證書的狀態,並將請求的證書證書的狀態信息簽名後返回給請求方,在線應答器能夠Windows2012的任何版本中使用,使用在線應答器時,證書 的吊銷數據能夠從一臺CA服務器上獲取,CA服務器的系統能夠是Windows2003,Windows2008,甚至能夠是一個非微軟的CA服務器.
4,網絡設備註冊服務(NDES Network Device Enrollment Service),經過這個組件,路由器,交換機以及其餘的網絡設備均可以從AD CS中獲取證書,若是操做系統使用的是Windows2008R2,那麼這個角色只能在企業版和數據中心版上使用,可是Windows2012的全部版本均可以使用這個角色.
5,證書註冊Web服務(CES Certificate Enrollment Web Service)
這個組件做爲Windwos 7和Windows 8客戶端與CA服務器之間的一個代理,它最初出如今Windows 2008R2版本中,要使用此功能AD林的功能級別必須是Windows 2008R2以上,它可以讓用戶經過瀏覽器鏈接到CA執行如下操做:
A,申請,續簽,安裝頌發的證書
B,獲取CRL
C,下載根證書
D,經過internet註冊證書,或跨林註冊證書.
6,證書註冊Web服務(CEP Certificate Enrollment Policy Web Service)
這個組件也是從Windows2008的時候出現的,容許用戶得到證書註冊生命力的信息.它和CES結合在一塊兒使非域或未鏈接到域 的客戶端計算機進行基於生命力的證書註冊.
TPM:
Windows2012支持生成受信任平臺模塊(TPM Trusted Platform Module) 此功能使用基於TPM的祕鑰存儲提供器來保護祕鑰.使用基於TPM祕鑰存儲提供器的好處是真正實現祕鑰的不可導出性,全部的祕鑰都是由TPM機制支持,全部的祕鑰都是由TPM機制支持,這樣可以有效的阻止那些屢次使用錯誤PIN碼訪問的用戶.若是想更進一步增強安全性,能夠對全部發給Windows2012 AD CS的證書請求強制加密.
智慧卡
智慧卡可以提供比密碼更強的安全性.由於未受權的用戶很難得到和保持對訪問,此外想要訪問被智慧卡保護的系統,要求用戶擁有一個有效的卡並知道訪問卡所需的PIN碼.智慧卡默認只會有一個副本存在,因此在同一時間只能有一個用戶可以使用登陸憑證,所以若是用戶的卡被盜了仍是遺失了,他很快就會知道卡到底是被盜了仍是遺失了.
虛擬智慧卡
Windows2012中,虛擬智慧卡利用的是計算機主板上的TPM芯片的功能,這個芯片在近兩年生產的主板中都已經集成了,因此它不須要你專門花錢去買智慧卡和讀卡器,可是它與傳統的智慧卡不一樣的是,傳統智慧卡的用戶必須物理的打敗智慧卡,而虛擬智慧卡是由主板上的TPM芯片來充當智慧卡的角色, 一樣達到雙重因素驗證的效果,它與物理智慧卡結合PIN碼的效果是相似的.啓用了虛擬智慧卡的用戶,必須有一臺計算機,而且要知道虛擬智慧卡的PIN碼.
理解虛擬智慧卡如何保護私鑰是很重要的,傳統的智慧卡擁有本身的存儲和加密機制來保護私鑰,而虛擬智慧卡中,它不是使用獨立的物理內存來保護私鑰,而是TPM的加密功能,TPM會將保存在智慧卡中的全部第三信息進行加密,而後以它的加密格式將信息保存在硬盤上,雖然私鑰是以TPM的加密格式保存在硬盤上的,可是全部的加密操做都是在一個安全獨立的TPM環境中發生的.不會未通過加密就離開這個環境的,萬一計算機的硬盤被人破解了,是不可訪問的,由於是TPM對保護和加密.
什麼是Cross-Certification (交叉驗證)層次?
根據這個名稱咱們能夠猜測到,Cross-Certification 層次應該是在CA層次中的某臺根CA將一個Cross-Certification 提交給另外一個CA層次中的根CA,另外一個層次中的根CA將收到 的證書安裝,通過這個步驟後,信任關係會從安裝了證書的層級向下傳遞到全部的從屬CA.
Cross-Certification的優點:
A,在企業之間以及PKI產品之間提供了交互操做功能.
B,將徹底不一樣的PKI關聯起來.
C,爲外部的CA層次構建徹底的信任.
企業一般部署Cross-Certification 在PKI層次上創建一個相互信任,以及部署某些依賴與PKI的應用程序,好比在企業之間創建SSL會話,或者用於交換數字簽名文檔的時候.