Windows的公钥基础结构(PKI)增强功能
2007-08-09 09:08:07 来源:WEB开发网Operations Manager 管理包为组织的 PKI 提供了一种被动监控功能,其中包括基于阈值的内置警报。例如,管理包可用于监视证书吊销列表 (CRL) 的刷新情况,当 CRL 达到过期日期前的特定天数或小时数时,则向 PKI 管理员发出警告。最后,还提供了许多新的性能计数器,帮助进行故障排除和监视 CA 服务本身的整体性能。这些计数器可用于捕获数据,如每秒颁发多少证书。
在 Windows Server 2008 中初次亮相的新功能:支持 CA 服务硬件级别的群集。此群集支持采用标准 Microsoft 群集服务 (MSCS) 技术并支持两节点的主动/被动配置。群集支持使您能够以高可用性方式运行颁发基础结构,可用于地理位置各异的群集部署。如果您选择应用群集支持,请注意,单是使 CA 群集化并不会导致整个 PKI 都可用。尽管群集可以帮助确保 CA 自身可用,但正常运行的 PKI 很可能包含未直接在 CA 上运行的其他组件。例如,CRL 分发点 (CDP) 和 OCSP 响应程序都必须以高可用性方式运行以确保可以执行吊销。此外,当采用硬件安全模块 (HSM),尤其是基于网络的 HSM 时,它们都在 PKI 中显示潜在的故障点。群集是一个强大的新增功能,用于为证书颁发机构本身提供高可用性,但它不是使整个 PKI 部署可用的万能药。
吊销
长期以来,CRL 一直用于提供对证书的有效性检查。这些 CRL 包括有效期尚未过期但不再受信任的所有证书的序列号。例如,如果某个员工的证书的过期日期为 12/31/2008,但该员工在 9/1/2007 离开了该组织,则其证书的序列号将被添加到 CRL 中。然后,该 CRL 将可用于多个 CRL 分发点 (CDP),如 HTTP 和轻型目录访问协议 (LDAP) 路径。
尽管被广泛使用,但 CRL 仍存在一些关键的不足之处。首先,CRL 由 CA 定期发布(通常每天一次或两次)。然后,客户端下载这些 CRL 并将其缓存直到下一个发布间隔。在此缓存期内,证书可能被吊销,而客户端可能不了解最新的状态。其次,在大型组织中,CRL 的大小可能会增长到非常大(有时会超过 100MB)。在大型、广为分散的网络范围内分发这些文件会非常困难甚至无法分发,在分支机构方案或其他有限带宽环境中尤为如此。
更多精彩
赞助商链接