Microsoft PKI或PKI供应商？

Question

我有一个与PKI基础设施相关的问题，如果一个组织使用Microsoft PKI或独立的PKI基础设施？如果我使用Microsoft PKI基础架构，是否有任何许可限制？还是应该从提供PKI TSA和SP（签名证明）基础架构的供应商那里获得独立的PKI基础架构。

Answer 1

你选择的任何PKI基础设施都必定有问题，这是缺点。我可以从经验告诉你，Microsoft PKI产品通常与其他Microsoft产品搭配使用，但与其他非Microsoft产品之间往往存在互操作性问题。随着时间的推移，我的理解是，他们最早的PKI产品已经逐渐变得更加符合标准，但他们仍然有他们的怪癖。如果您有关于签名的信息重播关注

时间戳当局是有用的：

http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif

但它意味着每个终端实体将需要使用生成的签名时，TSA。

如果您使用SSL的数字证书，则不需要它，私钥的唯一每个事务证明是协议的一部分。如果您正在进行Web身份验证，许多身份验证机制将使用SSL客户端身份验证或执行某些操作来强制私钥签署唯一值以确保在中间攻击中没有人。

我不太清楚“签名证明”的含义。如果你的意思是在每一个散列中包含一个随机的，唯一的值以避免重放攻击，那么就和TSA一样适用。但我在这里猜测。

这一切都会归结为 - 你用它做什么？它需要表现如何？用户和其他系统如何与其进行交互？

鉴于PKI价格昂贵，无论您如何分片，您都需要认真思考这一点。在许可成本，安装成本（工时）和维护成本之间，这是一项值得系统级需求开发和设计的重大承诺。

Answer 2

这个问题真的归结为使用范围。如果PKI只在组织内部使用，那么Microsoft的证书服务产品就提供了一个体面的PKI平台。但是，如果您的证书可能在外部使用 - 客户，供应商等 - 那么您可能希望使用受信任的第三方PKI提供商进行调查，例如VeriSign，Cyber​​trust（Verizon Business）等。

我们在内部运行Microsoft CS，并且运行良好，特别是因为我们的主要用例之一是通过Active Directory自动注册证书。它允许IIS，VPN客户端等根据需要自动获得颁发给他们的证书。

这不是我工作过的最全功能的PKI产品。如果你正在寻找一个非常先进的功能集，那么你应该看看红帽的证书服务产品。作为Dogtag PKI项目，它也是开源的。