Infineon Security Platform 解决方案

安装证书颁发机构

证书颁发机构（CA）是颁发运行公钥基础结构（PKI）所需证书的一种服务。此类证书通常基于一组设立的条件颁发给申请人。CA 保证主体公钥和主体身份信息（存储在该 CA 颁发的证书中）之间绑定的有效性。CA 可以为外部商务 CA，也可以是您公司运行的 CA。（因为 CA 是组织内部的一个重要信任点，大部分组织都选择拥有自己的 CA）。

Windows 2000 公钥基础结构采用分级 CA 模型，其特点是具有可伸缩性、易于管理，并且支持第三方 CA 颁发的证书。

Windows 2000 支持两种类型的 CA 服务：企业或独立。这两种 CA 服务之间的主要区别在于其颁发证书的方式。独立 CA 颁发证书不对申请人进行鉴权，并通常要求 CA 管理者基于一些附加信息来批准申请。

企业 CA 要求存在 Windows 2000 域，并基于申请人的域登录信息对其进行鉴权。另外，企业 CA 用证书模板来区别基于使用目的的不同类型的证书。 基于其在域内的访问权和使用证书的目的，用户可以获得不同类型的证书。

如果您打算只对作为 Windows 2000 域一个部分的组织内的用户或计算机颁发证书，那么您应该安装企业 CA。如果您将对 Windows 2000 域之外的用户或计算机颁发证书，那么就应该安装独立 CA。

注：企业 CA 有一个特别的策略模块，用于强制如何对证书进行处理和颁发。此类策略模块使用的策略信息存储在 Active Directory 的 CA 对象中。因此，您必须拥有完整功能的活动目录和 DNS 服务器，然后才能设置企业 CA。

有关如何为域安装 CA 的说明，请参阅 Microsoft TechNet。

设置 PKI 的下一步是更改用户证书模板以能够使用 Security Platform 解决方案提供的 Cryptographic Service Providers。 

©Infineon Technologies AG