Windows的公钥基础结构(PKI)增强功能

Windows 从 Windows 2000 版本起即开始为公钥基础结构 (PKI) 提供强健的、平台范围的支持。该版本包含第一个本机证书颁发机构功能，引入了自动注册，并为智能卡身份验证提供支持。在 Windows XP 和 Windows Server 2003 中，这些功能已得到扩展，可通过版本 2 证书模板提供更灵活的注册选项，并支持自动注册用户证书。在 Windows Vista® 和 Windows Server® 2008(以前的代号为“Longhorn”)中，Windows® PKI 平台又向前迈了一步，支持高级算法、实时有效性检查，可管理性也更好。本专栏将讨论 Windows Vista 和 Windows Server 2008 中新增的 PKI 功能，以及企业如何利用这些功能来降低成本和增加安全性。

Windows Vista 和 Windows Server 2008 中的 PKI 围绕四个主要核心方面进行了改进：加密、注册、可管理性和吊销。除了这些特定功能的改进外，Windows PKI 平台还受益于其他的操作系统改进(如角色管理器)，这些改进使得创建和部署新的证书颁发机构 (CA) 更加轻松。另外，Windows 的其他许多部分都能够利用 PKI 平台中的改进，如在 Windows Vista 中支持使用智能卡存储加密文件系统 (EFS) 密钥。

加密

对加密服务核心的改进体现在两方面。首先，通过引进下一代加密技术 (CNG)，Windows 现在提供一种可插入的、协议不可知的加密功能，此功能使得以编程方式开发和访问独立算法更加轻松。其次，CNG 还新增了对 Suite B 算法的支持，该算法在 2005 年由 National Security Agency (NSA) 引入。

CNG 是 Microsoft 的一个新型核心加密界面，也是针对将来基于 Windows 和支持加密的应用程序建议使用的 API。CNG 提供了大量的以开发人员为目标对象的功能，其中包括更方便的算法发现和替换、可替换的随机数生成器和一个内核模式加密 API。提供这些新功能的同时，CNG 还与其处理器 CryptoAPI 1.0 中提供的算法集完全向后兼容。目前，CNG 正在接受通过联邦信息处理标准 (FIPS) 140-2 级别 2 认证以及成为所选平台的通用准则所需的评估。