我有一個與PKI基礎設施相關的問題,如果一個組織使用Microsoft PKI或獨立的PKI基礎設施?如果我使用Microsoft PKI基礎架構,是否有任何許可限制?還是應該從提供PKI TSA和SP(簽名證明)基礎架構的供應商那裏獲得獨立的PKI基礎架構。Microsoft PKI或PKI供應商?
回答
你選擇的任何PKI基礎設施都必定有問題,這是缺點。我可以從經驗告訴你,Microsoft PKI產品通常與其他Microsoft產品搭配使用,但與其他非Microsoft產品之間往往存在互操作性問題。隨着時間的推移,我的理解是,他們最早的PKI產品已經逐漸變得更加符合標準,但他們仍然有他們的怪癖。如果您有關於簽名的信息重播關注
時間戳當局是有用的:
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
但它意味着每個終端實體將需要使用生成的簽名時,TSA。
如果您使用SSL的數字證書,則不需要它,私鑰的唯一每個事務證明是協議的一部分。如果您正在進行Web身份驗證,許多身份驗證機制將使用SSL客戶端身份驗證或執行某些操作來強制私鑰簽署唯一值以確保在中間攻擊中沒有人。
我不太清楚「簽名證明」的含義。如果你的意思是在每一個散列中包含一個隨機的,唯一的值以避免重放攻擊,那麼就和TSA一樣適用。但我在這裏猜測。
這一切都會歸結爲 - 你用它做什麼?它需要表現如何?用戶和其他系統如何與其進行交互?
鑑於PKI價格昂貴,無論您如何分片,您都需要認真思考這一點。在許可成本,安裝成本(工時)和維護成本之間,這是一項值得系統級需求開發和設計的重大承諾。
這個問題真的歸結爲使用範圍。如果PKI只在組織內部使用,那麼Microsoft的證書服務產品就提供了一個體面的PKI平臺。但是,如果您的證書可能在外部使用 - 客戶,供應商等 - 那麼您可能希望使用受信任的第三方PKI提供商進行調查,例如VeriSign,Cybertrust(Verizon Business)等。
我們在內部運行Microsoft CS,並且運行良好,特別是因爲我們的主要用例之一是通過Active Directory自動註冊證書。它允許IIS,VPN客戶端等根據需要自動獲得頒發給他們的證書。
這不是我工作過的最全功能的PKI產品。如果你正在尋找一個非常先進的功能集,那麼你應該看看紅帽的證書服務產品。作爲Dogtag PKI項目,它也是開源的。
Microsoft PKI爲Windows Server許可證提供「免費」CA,不向任何頒發證書(如「嚴重」PKI提供者)收取任何費用。它最好與Windows基礎結構集成,都可以使用組策略進行配置,並且不需要在Windows桌面或服務器上安裝任何東西。我一直與第三方PKI的一些客戶合作,他們都缺乏與微軟的良好集成,或者在新的Windows安全補丁,服務包或新的Windows版本中遇到許多問題(他們通常很晚才支持新版本的Windows, – 2018-02-20 16:48:27
它缺乏一些管理功能,例如證書管理器必須登錄到CA服務器才能執行基本任務,如撤銷/取消請求或批准/拒絕證書請求。有幾種管理工具可用,例如檢查CertHat。 – 2018-02-20 16:51:54
- 1. PKI多個公鑰
- 2. PKI認證機構
- 3. Apache/Rails:轉發PKI
- 4. PKI證書導入
- 5. PKI基礎設施
- 6. .net應用程序的PKI安全
- 7. OpenRasta的PKI身份驗證
- 8. 使用SSL/PKI保護webservice
- 9. 替代PKI數字簽名
- 10. 企業部署PKI(數字簽名)
- 11. 如何用Jersey/Spring獲取pki證書?
- 12. 跨Java和Python的PKI驗證
- 13. SoapUI是否支持PKI /證書認證?
- 14. PKI的證書頒發機構
- 15. PKI問題。密鑰的有效性
- 16. 輕量級文件驗證與PKI
- 17. Android應用程序中的PKI加密證書?
- 18. r shiny rsconnect直接上傳失敗,丟失PKI包記錄
- 19. 使用SQL Server進行基於PKI的x.509證書認證?
- 20. 在Spring Security中實現PKI身份驗證
- 21. 無法使用PKI驗證python中的簽名
- 22. 如何用Spring安全PKI 509登錄配置Jboss?
- 23. 分佈式PKI證書處理 - 使其用戶友好
- 24. Tomcat中的DoD PKI CAC身份驗證(嵌入在JBoss中)
- 25. 客戶端PKI證書認證發送404
- 26. PKI更新SSL證書的最佳實踐
- 27. 安裝錯誤R和RStudio RCurl,PKI和其他軟件包
- 28. ASP.NET - 幫助測試和調試PKI認證
- 29. SourcePro DB可以使用PKI連接到Oracle嗎?
- 30. 供應商vs供應商混淆
我的意思是簽名證明是簽名驗證機制,比如說我簽署了一份pdf – abmv 2010-05-20 04:14:45
您的系統需要什麼級別的簽名驗證?一個簡單的簽名verficiation(簽名是好的,是來自受信任的CA的簽名者?)通常由接收者與一個客戶端應用程序完成。符合PKIX的驗證(證書鏈的完整OCSP驗證)將需要更大的PKI基礎設施。如果你是從外界保護 - 第一個可能是足夠好的。如果您擔心內部威脅,PKIX檢查很重要。這是一條經驗法則,但不是最終的建議。 – bethlakshmi 2010-05-20 15:32:23
同時參照微軟,它是否有一套服務?要證明證書和撤銷清單等?有沒有一套服務?或者我應該撥打.net命名空間? – abmv 2010-05-23 13:05:58