问Microsoft PKI还是PKI供应商？

EN

你选择的任何PKI基础设施都有它的优点和缺点。根据经验，我可以告诉您，Microsoft PKI产品通常与其他Microsoft产品配合得很好，但与其他非Microsoft产品往往存在互操作性问题。随着时间的推移，我的理解是，他们最早的PKI产品已经越来越符合标准，但他们仍然有自己的怪癖。

如果您担心签名消息的重播，则时间戳授权非常有用：

http://en.wikipedia.org/wiki/File:Trusted_timestamping.gif

但这意味着每个终端实体在生成签名时都需要使用该TSA。

如果您使用SSL的数字证书，您将不需要它，协议的一部分是针对每个交易的唯一私钥证明。如果您正在进行web身份验证，许多身份验证机制将使用SSL客户端身份验证或执行某些操作来强制私钥签署唯一值，以确保没有中间人攻击。

我不太清楚你说的“签名证明”是什么意思。如果您的意思是在每个散列中包含一个随机的、唯一的值以避免重放攻击，那么与TSA相同的建议也适用。但我猜在这里。

归根结底就是--你用它做什么？它需要多好的性能？用户和其他系统需要如何与其交互？

考虑到PKI是昂贵的，无论您如何分割它，您都需要花一些时间认真考虑这个问题。在许可证成本、安装成本(工时)和维护成本之间，这是一个值得系统级需求开发和设计的主要承诺。

问题真正归结到使用范围上。如果PKI仅在组织内部使用，则Microsoft的证书服务产品提供了一个像样的PKI平台。但是，如果您的证书可能被外部使用--客户、供应商等--那么您可能需要考虑使用可信的第三方PKI提供商，如VeriSign、Cybertrust (Verizon Business)等。

我们在内部运行Microsoft CS，它运行良好，特别是因为我们的主要使用案例之一是通过Active Directory自动注册证书。它允许IIS、VPN客户端等根据需要自动获得颁发给它们的证书。

它不是我用过的功能最全的PKI产品。如果您正在寻找真正高级的功能集，那么您应该看看Red Hat的证书服务产品。它也是开源的Dogtag PKI项目。