Windows 从 Windows 版本起即开始为公钥基础结构 (PKI) 提供强健的、平台范围的支持,该版本包含第一个本机证书颁发机构功能,引入了自动注册,并为智能卡身份验证提供支持。在 Windows XP 和 Windows Server 中,这些功能已得到扩展,可通过版本 2 证书模板提供更灵活的注册选项,并支持自动注册用户证书。在 Windows Vista® 和 Windows Server® (以前的代号为“Longhorn”)中,Windows® PKI平台又向前迈了一步,支持高级算法、实时有效性检查,可管理性也更好。本专栏将讨论 Windows Vista 和 Windows Server 2008 中新增的 PKI 功能,以及企业如何利用这些功能来降低成本和增加安全性。
Windows Vista 和 Windows Server 2008 中的 PKI 围绕四个主要核心方面进行了改进:加密、注册、可管理性和吊销,
除了这些特定功能的改进外,Windows PKI平台还受益于其他的操作系统改进(如角色管理器),这些改进使得创建和部署新的证书颁发机构 (CA) 更加轻松。另外,Windows 的其他许多部分都能够利用 PKI平台中的改进,如在 Windows Vista 中支持使用智能卡存储加密文件系统 (EFS) 密钥。
加密
对加密服务核心的改进体现在两方面。首先,通过引进下一代加密技术 (CNG),Windows 现在提供一种可插入的、协议不可知的加密功能,此功能使得以编程方式开发和访问独立算法更加轻松。其次,CNG 还新增了对 Suite B 算法的支持,该算法在 年由 National Security Agency (NSA) 引入。
CNG 是 Microsoft 的一个新型核心加密界面,也是针对将来基于 Windows 和支持加密的应用程序建议使用的 API。CNG 提供了大量的以开发人员为目标对象的功能,其中包括更方便的算法发现和替换、可替换的随机数生成器和一个内核模式加密 API。提供这些新功能的同时,CNG 还与其处理器 CryptoAPI 1.0 中提供的算法集完全向后兼容。目前,CNG 正在接受通过联邦信息处理标准 (FIPS) 140-2 级别 2 认证以及成为所选平台的通用准则所需的评估。
温馨提示:
