Windows的公钥基础结构(PKI)增强功能

核心提示： Operations Manager 管理包为组织的 PKI 提供了一种被动监控功能，其中包括基于阈值的内置警报，Windows的公钥基础结构(PKI)增强功能(6)，例如，管理包可用于监视证书吊销列表 (CRL) 的刷新情况，CRL 的大小可能会增长到非常大(有时会超过 100MB)，在

Operations Manager 管理包为组织的 PKI 提供了一种被动监控功能，其中包括基于阈值的内置警报。例如，管理包可用于监视证书吊销列表 (CRL) 的刷新情况，当 CRL 达到过期日期前的特定天数或小时数时，则向 PKI 管理员发出警告。最后，还提供了许多新的性能计数器，帮助进行故障排除和监视 CA 服务本身的整体性能。这些计数器可用于捕获数据，如每秒颁发多少证书。

在 Windows Server 2008 中初次亮相的新功能：支持 CA 服务硬件级别的群集。此群集支持采用标准 Microsoft 群集服务 (MSCS) 技术并支持两节点的主动/被动配置。群集支持使您能够以高可用性方式运行颁发基础结构，可用于地理位置各异的群集部署。如果您选择应用群集支持，请注意，单是使 CA 群集化并不会导致整个 PKI 都可用。尽管群集可以帮助确保 CA 自身可用，但正常运行的 PKI 很可能包含未直接在 CA 上运行的其他组件。例如，CRL 分发点 (CDP) 和 OCSP 响应程序都必须以高可用性方式运行以确保可以执行吊销。此外，当采用硬件安全模块 (HSM)，尤其是基于网络的 HSM 时，它们都在 PKI 中显示潜在的故障点。群集是一个强大的新增功能，用于为证书颁发机构本身提供高可用性，但它不是使整个 PKI 部署可用的万能药。

吊销

长期以来，CRL 一直用于提供对证书的有效性检查。这些 CRL 包括有效期尚未过期但不再受信任的所有证书的序列号。例如，如果某个员工的证书的过期日期为 12/31/2008，但该员工在 9/1/2007 离开了该组织，则其证书的序列号将被添加到 CRL 中。然后，该 CRL 将可用于多个 CRL 分发点 (CDP)，如 HTTP 和轻型目录访问协议 (LDAP) 路径。

尽管被广泛使用，但 CRL 仍存在一些关键的不足之处。首先，CRL 由 CA 定期发布(通常每天一次或两次)。然后，客户端下载这些 CRL 并将其缓存直到下一个发布间隔。在此缓存期内，证书可能被吊销，而客户端可能不了解最新的状态。其次，在大型组织中，CRL 的大小可能会增长到非常大(有时会超过 100MB)。在大型、广为分散的网络范围内分发这些文件会非常困难甚至无法分发，在分支机构方案或其他有限带宽环境中尤为如此。