Microsoft PKI ですか、それとも PKI ベンダーですか?[閉まっている]

StackOverflow https://stackoverflow.com/questions/2865058

  •  30-09-2019
  •  | 
  •  

質問

PKI インフラストラクチャに関連した質問があります。組織は Microsoft PKI を使用するべきですか、それとも独立した個別の PKI インフラストラクチャを使用するべきですか?Microsoft PKI インフラストラクチャを使用する場合、ライセンス上の制限はありますか?それとも、PKI TSA および SP (Signature Proof) インフラストラクチャを提供するベンダーから独立した PKI インフラストラクチャを入手する必要があります。

役に立ちましたか?

解決

選択したPKIインフラストラクチャは、それが上にあることになり、ダウン面であります。経験から、Microsoft PKI製品は一般に他のMicrosoft製品でかなりうまく機能しているが、他の非ミクロソフト製品と相互運用性の問題がある傾向があることを伝えることができます。時間が経つにつれて、私の理解では、彼らの最古のPKI製品は徐々により多くの基準に準拠していますが、まだ癖があります。

タイムスタンピング当局は、署名されたメッセージのリプレイについて懸念がある場合に役立ちます。

http://en.wikipedia.org/wiki/file:trusted_timestamping.gif

しかし、それは、すべての最終エンティティが署名を生成するときにそのTSAを使用する必要があることを意味します。

SSLにデジタル証明書を使用している場合は、それを必要としません。秘密キーの一意の輸送ごとの証明はプロトコルの一部です。 Web認証を行っている場合、多くの認証メカニズムは、SSLクライアントAUTHを使用するか、秘密鍵を強制してユニークな値に署名するために何かをして、中間攻撃に人がいないことを保証します。

「署名証明」とはどういう意味かはよくわかりません。リプレイ攻撃を避けるために、すべてのハッシュにランダムで一意の値を含めることを意味する場合、TSAと同じアドバイスが適用されます。しかし、私はここで推測しています。

それはすべてになります - あなたはそれを何のために使用していますか?どれだけうまく機能する必要がありますか?ユーザーや他のシステムはどのようにそれとインターフェイスする必要がありますか?

PKIが高価であることを考えると、どのようにスライスするかは関係ありませんが、これを考えて真剣に時間を割いてみたいと思うでしょう。ライセンスのコスト、設置コスト(Manhours)、およびメンテナンスのコストの間で、システムレベルの要件開発と設計に値する大きなコミットメントです。

他のヒント

問題は実際には使用範囲に帰着します。PKI が組織内でのみ使用される場合は、Microsoft の証明書サービス製品が適切な PKI プラットフォームを提供します。ただし、証明書は顧客、ベンダーなどの外部で使用される可能性があります。-- その場合は、VeriSign、Cyber​​trust (Verizon Business) などの信頼できるサードパーティ PKI プロバイダーを使用して調査することをお勧めします。

弊社では Microsoft CS を社内で実行していますが、特に弊社の主な使用例の 1 つが Active Directory を介した証明書の自動登録であるため、うまく機能しています。IIS、VPN クライアントなどが許可されます。必要に応じて発行される証明書を自動的に取得します。

これは、私がこれまでに扱った中で最もフル機能を備えた PKI 製品ではありません。本当に高度な機能セットを探している場合は、Red Hat の Certificate Services 製品を検討してください。また、次のようにオープンソース化されています。 ドッグタグ PKI プロジェクト。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top