----公 开 密 钥 基 础 设 施(Public Key Infrastructure, PKI) 是 近 几 年 涌 现 的 一 种 新 的 安 全 技 术, 它 是 由 公 开 密 钥 密 码 技 术、 数 字 证 书、 证 书 发 行 机 构(Certificate Authority,CA) 和 关 于 公 开 密 钥 的 安 全 策 略 等 基 本 成 分 共 同 组 成 的。MS Windows NT 4.0 及 其 后 续 者Windows 2000, 提 供 了Windows 环 境 下 的PKI。 特 别 是Win2000 的PKI, 可 以 使 企 业 网 络 管 理 员 为 企 业 网 络 建 立 完 善 的、 适 合 企 业 应 用 需 求 的PKI。
----Microsoft PKI 的 基 础 是 它 的 加 密API ― CryptoAPI 2.0, 该API 为 公 开 密 钥 安 全 机 制 提 供 了 加 密 服 务 和 证 书 管 理 服 务。CryptoAPI 的 加 密 服 务 执 行 诸 如 密 钥 产 生、 数 字 签 名 和 加 密 等 功 能, 而 证 书 管 理 服 务 提 供 了 管 理 和 存 储X.509v3 数 字 证 书 的 功 能。Win2000 PKI 的 组 成 部 件 有: 密 码 服 务 提 供 者(Cryptographic Service Provider ,CSP)、 证 书 服 务 器(Certificate Server)、 智 能 卡 服 务、 安 全 通 道、 认 证 码(Authenticode)、 加 密 文 件 系 统(Encrypting File System,EFS)、 Microsoft Exchange Server 密 钥 管 理(Key Management,KM) 服 务 器 和PKI 应 用 程 序。Win2000 PKI 的 基 本 构 架 如 下 图 所 示(图略)。
----Win2000 具 有 模 块 化 的PKI 结 构, 使 管 理 员 能 够 方 便 地 升 级、 集 成、 扩 展 和 开 发 企 业 的PKI, 而 无 需 改 变 下 层 的 操 作 系 统 内 核。 例 如,Exchange Server 5.5 使 用 它 的KM 服 务 器 来 发 行 和 管 理Exchange Server 客 户 证 书, 而 在 安 装 了Service Pack 1 之 后, 它 就 使 用Certificate Server 而 不 是KM 服 务 器 来 完 成 这 些 任 务 了。
----开 发 人 员 可 以 建 立 基 于Microsoft 提 供 的 PKI 部 件 和CryptoAPI 的PKI 应 用 程 序, 如 可 以 使 用CryptoAPI 和 数 字 证 书 来 加 密 和 认 证MMQS(Microsoft Message Queue Server) 应 用 程 序 中 的 消 息。 管 理 员 可 以 根 据 网 络 应 用 的 需 求, 有 选 择 地 使 用Microsoft PKI 部 件。 若 企 业 需 要 建 立 一 个 安 全 的Web 站 点, 就 可 以 使 用Certificate Server 和IIS 及IE 内 嵌 的 安 全 通 道 功 能。
