建立和配置Windows PKI
PKI的一個(gè)關(guān)鍵部分是Microsoft證書(shū)服務(wù)。它支持部署一個(gè)或多個(gè)企業(yè)級CA。這些CA支持證書(shū)的頒發(fā)和吊銷(xiāo)。它們與Active Directory集成在一起，Active Directory提供CA的位置信息、CA的策略，并公布頒發(fā)證書(shū)和吊銷(xiāo)證書(shū)的信息。

PKI并未取代現有基于域控制器（DC）和Kerberos密鑰分發(fā)中心（KDC）的Windows NT域信任和身份驗證機制，而是與這些服務(wù)配合使用，增強了性能，使應用程序得以方便地擴展，以滿(mǎn)足extranet和Internet的需求。尤其值得一提的是，PKI滿(mǎn)足了對于擴展的分布式標識和身份驗證、完整性和保密性的需求。

在運行Windows Server 2003、Windows XP、Windows 2000或Windows NT的工作站和服務(wù)器以及運行Windows 95和Windows 98的工作站上均支持創(chuàng )建、部署和管理基于PKI的應用程序。Microsoft CryptoAPI是這些服務(wù)的基礎。它為可安裝的加密服務(wù)提供程序（cryptographic service provider，CSP）的加密功能提供標準接口。這些CSP可能是基于軟件的，或利用加密硬件設備實(shí)現的。它們能夠支持各種算法和密鑰強度。有些與Windows 2003一起發(fā)行的CSP就利用支持Microsoft PC/SC的智能卡基礎結構。

在加密服務(wù)層上是一組證書(shū)管理服務(wù)。這些服務(wù)支持X.509 v3標準證書(shū)，提供永久存儲、枚舉服務(wù)以及解碼支持。最上層是用于處理標準工業(yè)消息格式的服務(wù)。這些服務(wù)主要是用來(lái)支持PKGS標準以及發(fā)展中的Internet工程任務(wù)組（IETF）PKI X.509（PKIX）草案標準。

 注意：關(guān)于IETF和X.509的更多信息，請查看網(wǎng)站www.ietf.org。
 

其他服務(wù)使用CryptoAPI為應用程序開(kāi)發(fā)人員提供其他的功能。安全通道（schannel）使用工業(yè)標準的TLS和SSL協(xié)議來(lái)支持網(wǎng)絡(luò )身份驗證和加密�？捎肕icrosoft WinInet接口訪(fǎng)問(wèn)這些服務(wù)，以便通過(guò)SSPI接口與HTTP協(xié)議（HTTPS）或與其他協(xié)議一起使用。Authenticode支持對象簽名和身份驗證。雖然也可用于其他環(huán)境，但它主要用于確定Internet下載組件的來(lái)源和完整性。同時(shí)還支持通用智能卡接口。這些接口以一種與應用程序無(wú)關(guān)的方式集成加密智能卡，同時(shí)也是集成Windows 2003中智能卡登錄的基礎。