Windows的公钥基础结构(PKI)增强功能

核心提示： 为解决这些问题，RFC 2560 中创建并定义了 OCSP，Windows的公钥基础结构(PKI)增强功能(7)，OCSP 提供了验证证书状态的实时方法，OCSP 客户端在需要检查叶证书有效性的计算机上运行，而不会产生 CRL 分发的带宽成本，因此，然后，该客户端软件引用 OCSP 响应程

为解决这些问题，RFC 2560 中创建并定义了 OCSP。OCSP 提供了验证证书状态的实时方法。OCSP 客户端在需要检查叶证书有效性的计算机上运行。然后，该客户端软件引用 OCSP 响应程序并发送一条消息询问叶证书的有效性状态。该响应程序会检查证书的有效性，并实时向客户端做出响应。此方法避免了缓存和分发问题。

OCSP 客户端功能首次包括在了 Windows Vista 中(以前需要使用第三方软件)并可通过组策略进行配置。默认情况下，Windows 将尝试使用 OCSP，但如果响应程序不可用，将回退到标准 CRL 查询。

在 Windows Server 2008 中，提供了 OCSP 响应程序来回应这些要求。该响应程序通过角色管理器安装并可由 Operations Manager 2007 管理包监视。由于客户端和响应程序都符合 OCSP 标准，所以可以轻松地将它们集成到采用类似于基于标准的第三方组件的现有 OCSP 环境中。例如，完全支持让 Windows Vista 客户端根据第三方响应程序检查证书状态，以及让 Windows Server 2008 响应程序来响应来自第三方客户端应用程序的查询。此外，Windows OCSP 响应程序还可以应答由任何符合标准的 CA 颁发的证书的请求。不要求使用 Windows Server 2008 CA(和通常所说的基于 Windows 的 CA)。

总结

Windows Vista 和 Windows Server 2008 中的 PKI 平台包括许多增强功能和若干新增功能，这些功能可使部署和操作 PKI 更安全，成本更低。新的 CNG API 为开发人员提供了更轻松的编程环境，并支持新的加密标准。注册改进使组织可以更轻松地大量置备证书并在整个企业内实现密钥的安全漫游。同样，新的管理包和 CA 群集功能使监视 CA 的状态更加容易并可确保高可用性。最后，吊销检查中的改进使用基于标准的方法提供对证书的实时验证，而不会产生 CRL 分发的带宽成本。因此，Windows Vista 和 Windows Server 2008 使 Windows PKI 平台提升到了一个新级别。