Infineon Security Platform 解决方案

PKCS #11 中的公共密钥基础设施（PKI）

PKCS #11 标准定义了公用的界面用于证书和加密密钥的创建、使用和管理。此界面的每一项实施都为其下面的技术提供一个具体的途径，因为 PKCS #11 没有关于实现核心功能体加密令牌的声明。目前市场上的解决方案都是基于软件、以及智能卡或专门的硬件加密模块。每个 PKCS #11 兼容库都使用自己的方法来包含此类专门设备以及使用这些设备产生和处理加密相关的数据。

由于 PKCS #11 定义了一个独立于平台的界面，因此有很大范围的制造商推出了多种不同的解决方案，并且标准能够在很多的平台和操作系统中得到支持。

PKCS #11 兼容库通过一定制作精美的界面来提供他们的功能。根据实施中的主要目标的不同，一个 PKCS #11 库可能仅支持所定义界面的一个子集。

要建立一个 PKI，应用程序使用一个 PKCS #11 模块需要访问一个持久的存储器，该存储器为用户证书和私人密钥提供一个安全可靠的数据存储空间。PKCS #11 没有关于此存储机制的声明。作为一种共用机制，已经证实对于提供所要求的功能，目录服务是一个有很有用的途径。对此类目录服务的访问常常通过使用小型目录访问协议（LDAP）来实现。

Windows 2000 / XP 没有自己的 PKCS #11 库，因此该功能只能由第三方产品加入。安全平台解决方案软件包含有一个库实现 PKCS #11 界面，它使用 Trusted Platform Module 来执行最为敏感的加密操作，如密钥的生成。

该标准的各种独立实现可以位于同一个系统上。共同的功能是，使用这些库的应用程序都要通过一个特殊步骤地配置，才能正确访问各自的模块。

不过，基于 PKCS #11 的应用程序仍然要实现所有的管理工作，从而提供处理 PKCS #11 功能体所需的数据。

应用程序的开发商可以通过使用不同的 PKCS #11 实现模块，来充分利用基于 public key 安全机制的完整功能的优点，无需对运行的平台或软件系统做任何的改动。而且，公司还能够使用在整个机构都相同的工具和策略来管理他们的环境和应用程序。

要让其他用户能够阅读加密的信息或者验证签名的电子邮件，用户证书必须要存储在一个公共目录内。此目录通常位于服务器上，有关的机构单位都能够访问该服务器。

 　

公共密钥基础设施的基本组件包括数字证书、证书撤回列表和证书机构。企业管理员在他们的网络中开始使用公共密钥加密之前，必须确保公共密钥基础设施的到位。

在一个机构中设置 PKI 包含下列步骤：

• 安装一台证书服务器
• 定义一个第三方证书服务提供商
• 配置 Mozilla Firefox 使用 Infineon Security Platform PKCS #11 库
• 从一个为客户鉴权的证书机构那里获得证书

本起步指南向您简要介绍了上述一些内容，并为您提供链接来了解有关这些主题的更多信息。

Security Platform 解决方案软件升级后，通过 PKCS#11 接口来使用 Security Platform 解决方案的应用程序可能不会按预期工作，因为 PKCS#11 DLL 文件 (ifxtpmck.dll) 现在位于 Security Platform 解决方案软件的安装目录。而在之前的产品版本中，该文件位于 system32 目录。必须重新配置应用程序才能从新位置装入 ifxtpmck.dll。

©Infineon Technologies AG