PKI概述

CS角色:
1,CA
这个组件将证书颁发给用户,计算机,服务,它还能够用来管理证书的有效性.多个CA可以经过连接构成一个分层的PKI结构
2,CA Web注册
这个组件为用户,计算机,设备颂发和续签证书 ,设备能够是未加域的,也能够是没有直接链接到内部网络的,或者非Windows操做系统的.
3,在线应答器(OCSP)
可使用这个组件来配置和管理OCSP校验和吊销检查,在线应答器将特定证书的吊销状态请求进行解码,而后评传这些证书的状态,并将请求的证书证书的状态信息签名后返回给请求方,在线应答器能够Windows2012的任何版本中使用,使用在线应答器时,证书 的吊销数据能够从一台CA服务器上获取,CA服务器的系统能够是Windows2003,Windows2008,甚至能够是一个非微软的CA服务器.
4,网络设备注册服务(NDES Network Device Enrollment Service),经过这个组件,路由器,交换机以及其余的网络设备均可以从AD CS中获取证书,若是操做系统使用的是Windows2008R2,那么这个角色只能在企业版和数据中心版上使用,可是Windows2012的全部版本均可以使用这个角色.
5,证书注册Web服务(CES Certificate Enrollment Web Service)
这个组件做为Windwos 7和Windows 8客户端与CA服务器之间的一个代理,它最初出如今Windows 2008R2版本中,要使用此功能AD林的功能级别必须是Windows 2008R2以上,它可以让用户经过浏览器链接到CA执行如下操做:
A,申请,续签,安装颂发的证书
B,获取CRL
C,下载根证书
D,经过internet注册证书,或跨林注册证书.
6,证书注册Web服务(CEP Certificate Enrollment Policy Web Service)
这个组件也是从Windows2008的时候出现的,容许用户得到证书注册生命力的信息.它和CES结合在一块儿使非域或未链接到域 的客户端计算机进行基于生命力的证书注册.
TPM:
Windows2012支持生成受信任平台模块(TPM Trusted Platform Module) 此功能使用基于TPM的秘钥存储提供器来保护秘钥.使用基于TPM秘钥存储提供器的好处是真正实现秘钥的不可导出性,全部的秘钥都是由TPM机制支持,全部的秘钥都是由TPM机制支持,这样可以有效的阻止那些屡次使用错误PIN码访问的用户.若是想更进一步增强安全性,能够对全部发给Windows2012 AD CS的证书请求强制加密.
智慧卡
智慧卡可以提供比密码更强的安全性.由于未受权的用户很难得到和保持对访问,此外想要访问被智慧卡保护的系统,要求用户拥有一个有效的卡并知道访问卡所需的PIN码.智慧卡默认只会有一个副本存在,因此在同一时间只能有一个用户可以使用登陆凭证,所以若是用户的卡被盗了仍是遗失了,他很快就会知道卡到底是被盗了仍是遗失了.
虚拟智慧卡
Windows2012中,虚拟智慧卡利用的是计算机主板上的TPM芯片的功能,这个芯片在近两年生产的主板中都已经集成了,因此它不须要你专门花钱去买智慧卡和读卡器,可是它与传统的智慧卡不一样的是,传统智慧卡的用户必须物理的打败智慧卡,而虚拟智慧卡是由主板上的TPM芯片来充当智慧卡的角色, 一样达到双重因素验证的效果,它与物理智慧卡结合PIN码的效果是相似的.启用了虚拟智慧卡的用户,必须有一台计算机,而且要知道虚拟智慧卡的PIN码.
理解虚拟智慧卡如何保护私钥是很重要的,传统的智慧卡拥有本身的存储和加密机制来保护私钥,而虚拟智慧卡中,它不是使用独立的物理内存来保护私钥,而是TPM的加密功能,TPM会将保存在智慧卡中的全部第三信息进行加密,而后以它的加密格式将信息保存在硬盘上,虽然私钥是以TPM的加密格式保存在硬盘上的,可是全部的加密操做都是在一个安全独立的TPM环境中发生的.不会未通过加密就离开这个环境的,万一计算机的硬盘被人破解了,是不可访问的,由于是TPM对保护和加密.
什么是Cross-Certification (交叉验证)层次?
根据这个名称咱们能够猜测到,Cross-Certification 层次应该是在CA层次中的某台根CA将一个Cross-Certification 提交给另外一个CA层次中的根CA,另外一个层次中的根CA将收到 的证书安装,通过这个步骤后,信任关系会从安装了证书的层级向下传递到全部的从属CA.
Cross-Certification的优点:
A,在企业之间以及PKI产品之间提供了交互操做功能.
B,将彻底不一样的PKI关联起来.
C,为外部的CA层次构建彻底的信任.
企业一般部署Cross-Certification 在PKI层次上创建一个相互信任,以及部署某些依赖与PKI的应用程序,好比在企业之间创建SSL会话,或者用于交换数字签名文档的时候.