Infineon Security Platform 解决方案
安装证书颁发机构
证书颁发机构(CA)是颁发运行公钥基础结构(PKI)所需证书的一种服务。此类证书通常基于一组设立的条件颁发给申请人。CA 保证主体公钥和主体身份信息(存储在该 CA 颁发的证书中)之间绑定的有效性。CA 可以为外部商务 CA,也可以是您公司运行的 CA。(因为 CA 是组织内部的一个重要信任点,大部分组织都选择拥有自己的 CA)。
Windows 2000 公钥基础结构采用分级 CA 模型,其特点是具有可伸缩性、易于管理,并且支持第三方 CA 颁发的证书。
Windows 2000 支持两种类型的 CA 服务:企业或独立。这两种 CA 服务之间的主要区别在于其颁发证书的方式。独立 CA 颁发证书不对申请人进行鉴权,并通常要求 CA 管理者基于一些附加信息来批准申请。
企业 CA 要求存在 Windows 2000 域,并基于申请人的域登录信息对其进行鉴权。另外,企业 CA 用证书模板来区别基于使用目的的不同类型的证书。 基于其在域内的访问权和使用证书的目的,用户可以获得不同类型的证书。
如果您打算只对作为 Windows 2000 域一个部分的组织内的用户或计算机颁发证书,那么您应该安装企业 CA。如果您将对 Windows 2000 域之外的用户或计算机颁发证书,那么就应该安装独立 CA。
注:企业 CA 有一个特别的策略模块,用于强制如何对证书进行处理和颁发。此类策略模块使用的策略信息存储在 Active Directory 的 CA 对象中。因此,您必须拥有完整功能的活动目录和 DNS 服务器,然后才能设置企业 CA。
有关如何为域安装 CA 的说明,请参阅 Microsoft TechNet。
设置 PKI 的下一步是更改用户证书模板以能够使用 Security Platform 解决方案提供的 Cryptographic Service Providers。
©Infineon Technologies AG