Microsoft PKI或PKI供應商？

Question

我有一個與PKI基礎設施相關的問題，如果一個組織使用Microsoft PKI或獨立的PKI基礎設施？如果我使用Microsoft PKI基礎架構，是否有任何許可限制？還是應該從提供PKI TSA和SP（簽名證明）基礎架構的供應商那裏獲得獨立的PKI基礎架構。

Answer 1

你選擇的任何PKI基礎設施都必定有問題，這是缺點。我可以從經驗告訴你，Microsoft PKI產品通常與其他Microsoft產品搭配使用，但與其他非Microsoft產品之間往往存在互操作性問題。隨着時間的推移，我的理解是，他們最早的PKI產品已經逐漸變得更加符合標準，但他們仍然有他們的怪癖。如果您有關於簽名的信息重播關注

時間戳當局是有用的：

http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif

但它意味着每個終端實體將需要使用生成的簽名時，TSA。

如果您使用SSL的數字證書，則不需要它，私鑰的唯一每個事務證明是協議的一部分。如果您正在進行Web身份驗證，許多身份驗證機制將使用SSL客戶端身份驗證或執行某些操作來強制私鑰簽署唯一值以確保在中間攻擊中沒有人。

我不太清楚「簽名證明」的含義。如果你的意思是在每一個散列中包含一個隨機的，唯一的值以避免重放攻擊，那麼就和TSA一樣適用。但我在這裏猜測。

這一切都會歸結爲 - 你用它做什麼？它需要表現如何？用戶和其他系統如何與其進行交互？

鑑於PKI價格昂貴，無論您如何分片，您都需要認真思考這一點。在許可成本，安裝成本（工時）和維護成本之間，這是一項值得系統級需求開發和設計的重大承諾。

Answer 2

這個問題真的歸結爲使用範圍。如果PKI只在組織內部使用，那麼Microsoft的證書服務產品就提供了一個體面的PKI平臺。但是，如果您的證書可能在外部使用 - 客戶，供應商等 - 那麼您可能希望使用受信任的第三方PKI提供商進行調查，例如VeriSign，Cyber​​trust（Verizon Business）等。

我們在內部運行Microsoft CS，並且運行良好，特別是因爲我們的主要用例之一是通過Active Directory自動註冊證書。它允許IIS，VPN客戶端等根據需要自動獲得頒發給他們的證書。

這不是我工作過的最全功能的PKI產品。如果你正在尋找一個非常先進的功能集，那麼你應該看看紅帽的證書服務產品。作爲Dogtag PKI項目，它也是開源的。