我有一个与 PKI 基础结构相关的问题,组织应该使用 Microsoft PKI 还是独立的独立 PKI 基础结构?如果我使用 Microsoft PKI Infrastructure,是否有任何许可限制?或者我应该从提供 PKI TSA 和 SP(签名证明)基础设施的供应商那里获得独立的 PKI 基础设施。
问问题
1612 次
2 回答
2
您选择的任何 PKI 基础设施都必然有其优点和缺点。我可以根据经验告诉您,Microsoft PKI 产品通常与其他 Microsoft 产品配合得很好,但往往与其他非 Microsoft 产品存在互操作性问题。随着时间的推移,我的理解是,他们最古老的 PKI 产品已经越来越符合标准,但他们仍然有自己的怪癖。
如果您担心签名消息的重放,时间戳权限很有用:
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
但这意味着每个终端实体在生成签名时都需要使用该 TSA。
如果您将数字证书用于 SSL,则不需要它,私钥的唯一每次交易证明是协议的一部分。如果您正在进行 Web 身份验证,许多身份验证机制将使用 SSL 客户端身份验证或执行某些操作来强制私钥签署唯一值,以确保没有人参与中间攻击。
我不太清楚您所说的“签名证明”是什么意思。如果您的意思是在每个哈希中包含一个随机且唯一的值以避免重放攻击,那么适用与 TSA 相同的建议。但我猜这里。
这一切都会归结为——你用它做什么?它需要表现多好?用户和其他系统需要如何与之交互?
鉴于 PKI 很昂贵,无论您如何分割它,您都需要花一些时间认真考虑这一点。在许可证成本、安装成本(工时)和维护成本之间,这是一项值得系统级需求开发和设计的重大承诺。
于 2010-05-19T14:49:56.557 回答
0
问题实际上归结为使用范围。如果 PKI 仅在您的组织内部使用,那么 Microsoft 的证书服务产品提供了一个不错的 PKI 平台。但是,如果您的证书可能在外部使用——客户、供应商等——那么您可能希望使用受信任的第三方 PKI 提供商进行调查,例如 VeriSign、Cybertrust (Verizon Business) 等。
我们在内部运行 Microsoft CS,它运行良好,特别是因为我们的主要用例之一是通过 Active Directory 自动注册证书。它允许 IIS、VPN 客户端等根据需要自动获取颁发给它们的证书。
它不是我使用过的功能最齐全的 PKI 产品。如果您正在寻找真正高级的功能集,那么您应该查看红帽的证书服务产品。它也作为Dogtag PKI项目开源。
于 2010-05-19T18:35:52.000 回答