我有一个与PKI基础设施有关的问题,组织应该使用Microsoft PKI还是独立的独立PKI基础设施?如果我使用Microsoft PKI Infrastructure,是否有任何许可限制?或者我应该从提供PKI TSA和SP(签名证明)基础设施的供应商处获得独立的PKI基础设施。
答案 0 :(得分:2)
您选择的任何PKI基础设施都必然会出现问题,而且还有缺点。我可以从经验告诉您,Microsoft PKI产品通常与其他Microsoft产品相当好,但往往与其他非Microsoft产品存在互操作性问题。随着时间的推移,我的理解是他们最古老的PKI产品逐渐得到更多的标准兼容,但他们仍然有他们的怪癖。
如果您对已签名邮件的重播有疑虑,时间戳主管部门非常有用:
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
但这意味着每个终端实体在生成签名时都需要使用该TSA。
如果您使用的数字证书用于SSL,则不需要它,私钥的唯一每个事务证明是协议的一部分。如果您正在进行Web身份验证,许多身份验证机制将使用SSL客户端身份验证或执行某些操作来强制私钥签署唯一值以确保中间攻击中没有人。
我不太确定你的“签名证明”是什么意思。如果您的意思是在每个哈希中包含一个随机且唯一的值以避免重放攻击,则应用与TSA相同的建议。但我猜这里。
一切都归结为 - 你用它做什么?它的表现如何?用户和其他系统如何与之交互?
鉴于PKI很昂贵,无论你如何分割PKI,你都需要花一些时间来考虑这个问题。在许可证成本,安装成本(工时)和维护成本之间,这是一项值得系统级需求开发和设计的重要承诺。
答案 1 :(得分:0)
问题实际上归结为使用范围。如果PKI仅在您的组织内部使用,那么Microsoft的证书服务产品提供了一个不错的PKI平台。但是,如果您的证书可能在外部使用 - 客户,供应商等 - 那么您可能希望使用受信任的第三方PKI提供商(如VeriSign,Cybertrust(Verizon Business)等)进行调查。
我们在内部运行Microsoft CS并且运行良好,特别是因为我们的一个主要用例是通过Active Directory自动注册证书。它允许IIS,VPN客户端等根据需要自动获取颁发给它们的证书。
这不是我使用过的功能最齐全的PKI产品。如果您正在寻找一个非常先进的功能集,那么您应该查看Red Hat的证书服务产品。它也是开源的Dogtag PKI项目。
