У меня есть вопрос, связанный с инфраструктурой PKI, если организация идет с Microsoft PKI или независимой отдельной инфраструктурой PKI? Существуют ли какие-либо лицензионные ограничения, если я использую Microsoft PKI Infrastructure? Или я должен получить независимую инфраструктуру PKI от поставщика, предлагающего инфраструктуру PAI TSA и SP (Signature Proof).Microsoft PKI или поставщик PKI?
Любая инфраструктура PKI, которую вы выбираете, обязана иметь боковые стороны, и это недостатки. Я могу сказать вам по опыту, что продукты Microsoft PKI в целом хорошо сочетаются с другими продуктами Microsoft, но имеют проблемы с совместимостью с другими продуктами, отличными от Microsoft. Со временем я понимаю, что их старейшие продукты PKI получили более высокие стандарты, но у них все еще есть свои причуды.
время штамповки власти полезны, если у вас есть сомнения по поводу переигровки подписанных сообщений:
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
Но это означает, что каждый конечный объект нужно будет использовать что TSA при создании подписи.
Если вы используете свои цифровые сертификаты для SSL, вам это не понадобится, уникальное для каждого транзакции подтверждение закрытого ключа является частью протокола. Если вы выполняете проверку подлинности в Интернете, многие механизмы аутентификации будут использовать либо SSL-клиент, либо сделать что-то, чтобы заставить закрытый ключ подписать уникальное значение, чтобы гарантировать, что в средней атаке нет человека.
Я не совсем уверен, что вы подразумеваете под «Подтверждением подписи». Если вы имеете в виду включение случайного и уникального значения в каждый хэш, чтобы избежать повторных атак, тогда применяется тот же совет, что и TSA. Но я угадываю здесь.
Все дело в том, для чего вы его используете? насколько хорошо это нужно выполнить? как пользователи и другие системы должны взаимодействовать с ним?
Учитывая, что PKI стоит дорого, неважно, как вы его нарезаете, вы захотите немного подумать об этом. Между стоимостью лицензий, стоимостью установки (человеко-часов) и стоимостью обслуживания, это основное обязательство, требующее разработки и проектирования требований к системному уровню.
Вопрос действительно сводится к сфере использования. Если PKI будет использоваться только внутри вашей организации, то продукт службы сертификации Microsoft предоставляет достойную платформу PKI. Однако, если вы можете использовать внешние сертификаты - клиенты, поставщики и т. Д. - тогда вы, вероятно, захотите провести расследование с использованием доверенного стороннего поставщика PKI, такого как VeriSign, Cybertrust (Verizon Business) и т. Д.
Мы запускаем Microsoft CS внутренне, и он работает хорошо, особенно потому, что одним из наших основных случаев использования является автоматическая регистрация сертификатов через Active Directory. Это позволяет IIS, VPN-клиентам и т. Д. Автоматически получать сертификаты, выданные им по мере необходимости.
Это не самый полнофункциональный продукт PKI, с которым я работал. Если вы ищете действительно расширенный набор функций, вы должны посмотреть на продукт службы сертификации Red Hat. Он также открыт как проект Dogtag PKI.
Microsoft PKI предоставляет бесплатный CA с лицензией Windows Server и не взимает ничего за выданные сертификаты (например, «серьезные» поставщики PKI). Он лучше всего интегрирован с инфраструктурой Windows, все можно настроить с помощью групповой политики, и нет необходимости устанавливать что-либо на настольных компьютерах или серверах Windows. Я работаю с некоторыми клиентами с сторонними PKI, им не хватает хорошей интеграции с Microsoft или у них много проблем с новыми патчами безопасности Windows, пакетами обновлений или новыми версиями Windows (они, как правило, очень запоздали с поддержкой новых версий Windows. –
В нем отсутствуют некоторые функции управления, например, диспетчеры сертификатов должны подключиться к серверу CA для выполнения основных задач, таких как «Отзыв/отказ» или «Утверждение/отклонение запроса сертификата». Для администрирования доступно несколько инструментов, например, CertHat. –
Что я имею в виду под доказательством подписи - это механизмы проверки подписей, скажем, в случае, если я подпишу pdf pdf – abmv
Какой уровень проверки подписи потребуется для вашей системы? Простая аутентификация подписи (является ли подпись хорошей и является подписью, поступающей из доверенного ЦС?), Как правило, выполняется получателем с клиентским приложением. Для проверки PKIX-совместимости (полная проверка OCSP цепочки сертификатов) потребуется большая инфраструктура PKI. Если вы защищаете от посторонних - первое, вероятно, достаточно хорошо.Если вас беспокоит угроза инсайдеров, важны проверки PKIX. Это эмпирическое правило, хотя и не последняя рекомендация. – bethlakshmi
Также со ссылкой на Microsoft, имеет ли он набор услуг? для верфи в отношении серфификата, а также о списках отзыва и т. д.? Есть ли набор услуг? Или мне нужно называть пространства имен имен .net? – abmv