建立和配置Windows PKI
PKI的一個(gè)關(guān)鍵部分是Microsoft證書(shū)服務(wù)。它支持部署一個(gè)或多個(gè)企業(yè)級(jí)CA。這些CA支持證書(shū)的頒發(fā)和吊銷。它們與Active Directory集成在一起，Active Directory提供CA的位置信息、CA的策略，并公布頒發(fā)證書(shū)和吊銷證書(shū)的信息。

PKI并未取代現(xiàn)有基于域控制器（DC）和Kerberos密鑰分發(fā)中心（KDC）的Windows NT域信任和身份驗(yàn)證機(jī)制，而是與這些服務(wù)配合使用，增強(qiáng)了性能，使應(yīng)用程序得以方便地?cái)U(kuò)展，以滿足extranet和Internet的需求。尤其值得一提的是，PKI滿足了對(duì)于擴(kuò)展的分布式標(biāo)識(shí)和身份驗(yàn)證、完整性和保密性的需求。

在運(yùn)行Windows Server 2003、Windows XP、Windows 2000或Windows NT的工作站和服務(wù)器以及運(yùn)行Windows 95和Windows 98的工作站上均支持創(chuàng)建、部署和管理基于PKI的應(yīng)用程序。Microsoft CryptoAPI是這些服務(wù)的基礎(chǔ)。它為可安裝的加密服務(wù)提供程序（cryptographic service provider，CSP）的加密功能提供標(biāo)準(zhǔn)接口。這些CSP可能是基于軟件的，或利用加密硬件設(shè)備實(shí)現(xiàn)的。它們能夠支持各種算法和密鑰強(qiáng)度。有些與Windows 2003一起發(fā)行的CSP就利用支持Microsoft PC/SC的智能卡基礎(chǔ)結(jié)構(gòu)。

在加密服務(wù)層上是一組證書(shū)管理服務(wù)。這些服務(wù)支持X.509 v3標(biāo)準(zhǔn)證書(shū)，提供永久存儲(chǔ)、枚舉服務(wù)以及解碼支持。最上層是用于處理標(biāo)準(zhǔn)工業(yè)消息格式的服務(wù)。這些服務(wù)主要是用來(lái)支持PKGS標(biāo)準(zhǔn)以及發(fā)展中的Internet工程任務(wù)組（IETF）PKI X.509（PKIX）草案標(biāo)準(zhǔn)。

 注意：關(guān)于IETF和X.509的更多信息，請(qǐng)查看網(wǎng)站www.ietf.org。
 

其他服務(wù)使用CryptoAPI為應(yīng)用程序開(kāi)發(fā)人員提供其他的功能。安全通道（schannel）使用工業(yè)標(biāo)準(zhǔn)的TLS和SSL協(xié)議來(lái)支持網(wǎng)絡(luò)身份驗(yàn)證和加密。可用Microsoft WinInet接口訪問(wèn)這些服務(wù)，以便通過(guò)SSPI接口與HTTP協(xié)議（HTTPS）或與其他協(xié)議一起使用。Authenticode支持對(duì)象簽名和身份驗(yàn)證。雖然也可用于其他環(huán)境，但它主要用于確定Internet下載組件的來(lái)源和完整性。同時(shí)還支持通用智能卡接口。這些接口以一種與應(yīng)用程序無(wú)關(guān)的方式集成加密智能卡，同時(shí)也是集成Windows 2003中智能卡登錄的基礎(chǔ)。