我有一个与PKI基础设施相关的问题,如果一个组织使用Microsoft PKI或独立的PKI基础设施?如果我使用Microsoft PKI基础架构,是否有任何许可限制?还是应该从提供PKI TSA和SP(签名证明)基础架构的供应商那里获得独立的PKI基础架构。Microsoft PKI或PKI供应商?
回答
你选择的任何PKI基础设施都必定有问题,这是缺点。我可以从经验告诉你,Microsoft PKI产品通常与其他Microsoft产品搭配使用,但与其他非Microsoft产品之间往往存在互操作性问题。随着时间的推移,我的理解是,他们最早的PKI产品已经逐渐变得更加符合标准,但他们仍然有他们的怪癖。如果您有关于签名的信息重播关注
时间戳当局是有用的:
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
但它意味着每个终端实体将需要使用生成的签名时,TSA。
如果您使用SSL的数字证书,则不需要它,私钥的唯一每个事务证明是协议的一部分。如果您正在进行Web身份验证,许多身份验证机制将使用SSL客户端身份验证或执行某些操作来强制私钥签署唯一值以确保在中间攻击中没有人。
我不太清楚“签名证明”的含义。如果你的意思是在每一个散列中包含一个随机的,唯一的值以避免重放攻击,那么就和TSA一样适用。但我在这里猜测。
这一切都会归结为 - 你用它做什么?它需要表现如何?用户和其他系统如何与其进行交互?
鉴于PKI价格昂贵,无论您如何分片,您都需要认真思考这一点。在许可成本,安装成本(工时)和维护成本之间,这是一项值得系统级需求开发和设计的重大承诺。
这个问题真的归结为使用范围。如果PKI只在组织内部使用,那么Microsoft的证书服务产品就提供了一个体面的PKI平台。但是,如果您的证书可能在外部使用 - 客户,供应商等 - 那么您可能希望使用受信任的第三方PKI提供商进行调查,例如VeriSign,Cybertrust(Verizon Business)等。
我们在内部运行Microsoft CS,并且运行良好,特别是因为我们的主要用例之一是通过Active Directory自动注册证书。它允许IIS,VPN客户端等根据需要自动获得颁发给他们的证书。
这不是我工作过的最全功能的PKI产品。如果你正在寻找一个非常先进的功能集,那么你应该看看红帽的证书服务产品。作为Dogtag PKI项目,它也是开源的。
Microsoft PKI为Windows Server许可证提供“免费”CA,不向任何颁发证书(如“严重”PKI提供者)收取任何费用。它最好与Windows基础结构集成,都可以使用组策略进行配置,并且不需要在Windows桌面或服务器上安装任何东西。我一直与第三方PKI的一些客户合作,他们都缺乏与微软的良好集成,或者在新的Windows安全补丁,服务包或新的Windows版本中遇到许多问题(他们通常很晚才支持新版本的Windows, – 2018-02-20 16:48:27
它缺乏一些管理功能,例如证书管理器必须登录到CA服务器才能执行基本任务,如撤销/取消请求或批准/拒绝证书请求。有几种管理工具可用,例如检查CertHat。 – 2018-02-20 16:51:54
- 1. PKI基础设施
- 2. PKI认证机构
- 3. PKI多个公钥
- 4. PKI HSM模拟器
- 5. Apache/Rails:转发PKI
- 6. PKI证书导入
- 7. .net应用程序的PKI安全
- 8. 使用SSL/PKI保护webservice
- 9. OpenRasta的PKI身份验证
- 10. PowerShell PKI模块不可用
- 11. PolarSSL PKI加密/符号
- 12. 替代PKI数字签名
- 13. PKI - 读卡器更换
- 14. 企业部署PKI(数字签名)
- 15. Java智能卡身份验证PKI
- 16. PKI问题。密钥的有效性
- 17. 如何用Jersey/Spring获取pki证书?
- 18. SoapUI是否支持PKI /证书认证?
- 19. 通过PKI证书登录Portal/WAS
- 20. 跨Java和Python的PKI验证
- 21. PKI的证书颁发机构
- 22. 轻量级文件验证与PKI
- 23. Android应用程序中的PKI加密证书?
- 24. 用于C#RSA PKI的Windows Crypto API的替代方案?
- 25. r shiny rsconnect直接上传失败,丢失PKI包记录
- 26. 在Spring Security中实现PKI身份验证
- 27. SourcePro DB可以使用PKI连接到Oracle吗?
- 28. 安装错误R和RStudio RCurl,PKI和其他软件包
- 29. Python示例访问受PKI保护的php站点(HTTPS)
- 30. 使用bouncycastle对集中式PKI中的私钥进行加密
我的意思是签名证明是签名验证机制,比如说我签署了一份pdf – abmv 2010-05-20 04:14:45
您的系统需要什么级别的签名验证?一个简单的签名verficiation(签名是好的,是来自受信任的CA的签名者?)通常由接收者与一个客户端应用程序完成。符合PKIX的验证(证书链的完整OCSP验证)将需要更大的PKI基础设施。如果你是从外界保护 - 第一个可能是足够好的。如果您担心内部威胁,PKIX检查很重要。这是一条经验法则,但不是最终的建议。 – bethlakshmi 2010-05-20 15:32:23
同时参照微软,它是否有一套服务?要证明证书和撤销清单等?有没有一套服务?或者我应该拨打.net命名空间? – abmv 2010-05-23 13:05:58