PKIインフラストラクチャに関連する質問があります。組織は、Microsoft PKIまたは独立した個別のPKIインフラストラクチャを使用する必要がありますか?Microsoft PKIインフラストラクチャを使用している場合、ライセンスの制限はありますか?または、PKI TSAおよびSP(Signature Proof)インフラストラクチャを提供するベンダーから独立したPKIインフラストラクチャを入手する必要があります。
1612 次
2 に答える
2
選択するPKIインフラストラクチャには、必ず良い面と悪い面があります。経験から、Microsoft PKI製品は一般的に他のMicrosoft製品とかなりうまく機能しますが、他のMicrosoft以外の製品との相互運用性の問題が発生する傾向があることがわかります。時間が経つにつれて、私の理解では、最も古いPKI製品は徐々に標準に準拠するようになりましたが、それでも癖があります。
署名されたメッセージの再生について懸念がある場合は、タイムスタンプ機関が役立ちます。
http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif
ただし、署名を生成するときに、すべてのエンドエンティティがそのTSAを使用する必要があることを意味します。
SSLにデジタル証明書を使用している場合は、それは必要ありません。秘密鍵のトランザクションごとの一意の証明がプロトコルの一部です。Web認証を行っている場合、多くの認証メカニズムはSSLクライアント認証を使用するか、何かを実行して秘密鍵に一意の値に署名させ、中間者攻撃がないことを保証します。
「署名証明」とはどういう意味かよくわかりません。リプレイ攻撃を回避するためにすべてのハッシュにランダムで一意の値を含めることを意味する場合は、TSAと同じアドバイスが適用されます。しかし、私はここで推測しています。
それはすべてになります-あなたはそれを何のために使っていますか?どのくらいうまく実行する必要がありますか?ユーザーや他のシステムはどのようにそれとインターフェースする必要がありますか?
PKIは高価であることを考えると、どのようにスライスしても、これを考えて真剣に時間をかける必要があります。ライセンスのコスト、インストールのコスト(工数)、およびメンテナンスのコストの間で、システムレベルの要件の開発と設計に値する主要なコミットメントです。
于 2010-05-19T14:49:56.557 に答える
0
問題は、実際には使用範囲にあります。PKIが組織内でのみ使用される場合、Microsoftの証明書サービス製品は適切なPKIプラットフォームを提供します。ただし、証明書が外部で使用される可能性がある場合(顧客、ベンダーなど)、VeriSign、Cybertrust(Verizon Business)などの信頼できるサードパーティのPKIプロバイダーを使用して調査することをお勧めします。
Microsoft CSは内部で実行されており、特にActive Directoryを介した証明書の自動登録が主な使用例の1つであるため、正常に機能します。これにより、IIS、VPNクライアントなどは、必要に応じて発行された証明書を自動的に取得できます。
これは、私が使用した中で最もフル機能のPKI製品ではありません。非常に高度な機能セットをお探しの場合は、RedHatの証明書サービス製品をご覧ください。DogtagPKIプロジェクトとしてもオープンソースです。
于 2010-05-19T18:35:52.000 に答える