在这些企业 CA 和 Windows NT 域信任模型之间有明显的联系但这并不意味着，CA 信任关系和域信任关系之间存在直接的映射关系一个 CA 可以处理多个域中的实体，甚至域外的实体相似地，一个给定域可以有多个企业 CA
　　
　　正如上面讨论的，CA 是很有价值的资源，通常希望给它们提供更高等级的保护应该考虑的特定操作有：
　　　
　　物理保护 – 因为 CA 代表了企业中的高度可信任实体，通常希望保护它们，防止篡改这一需求取决于该 CA 颁发证书的内在价值将 CA 服务器从物理上隔离（在职能部门中，只有安全管理员能够访问），可大大减少此类攻击的可能性
　　
　　密钥管理 – CA 的密钥最有价值，因为私钥是信任证书过程的基础加密硬件模块（通过 CryptoAPI CSP 访问证书服务）可提供防止篡改的密钥存储，并将加密操作与运行在该服务器上的其他软件隔离开这大大减少了 CA 密钥泄露的可能性
　　
　　恢复 – 丢失 CA（例如，由于硬件故障）可能会引起很多管理和操作上的麻烦，并会阻止吊销原有证书证书服务支持 CA 实例的备份，这样，以后就可以恢复它了这是整个 CA 管理过程的一个重要组成部分
　　
　　基于以前的讨论，很明显，Windows 2000 PKI 必须处理跨多个 CA 层次结构的信任关系它可能只包括一个企业内的 CA 层次结构，但也可能包括多个企业内的层次结构，以及商业 CA（如 Verisign、Thawte 等）
　　
　　在 PKI 中，可以基于 Windows NT 域机器策略对象，从管理上建立和实施基于 CA 的信任关系对于每个可信根 CA，此系统提供了一个方法，对该 CA 颁发的证书限制使用例如，即使某个 CA 颁发的证书可以有多种用途，也可以仅将其用于服务器身份验证
　　
　　另外，个别用户可以添加其他 CA 信任关系，这种信任关系只适用于他们自己可通过使用客户功能，但不涉及管理操作来实现这一目标
　　
　　要将所有可信根 CA 包含在一个策略对象中，可采用的另一要个方法是使用“交叉证书”至少有一个供应商的 PKI 产品中使用了这种证书，它提供了一种方法，来创建从可信根 CA 到多个其他 CA 的一条信任链Windows NT PKI 能够处理这种交叉证书，并能够在进行信任决策时使用它们；但在我们的模型中，它并不是必需的我们这样做，是因为交叉证书会带来很多问题，特别是：
　　
　　当 CA 实施不同的策略时，对于跨越不同组织界限的交叉证书其解释不明确
　　
　　如果没有现成的商业协议阐释其用法，则会产生交叉证书的解释问题
　　
　　生成和维护交叉证书会导致额外的管理负担
　　
　　启用域客户
　　
　　Windows 2000 提供了一整套核心服务，来支持开发和部署可互操作的、基于 PK 的应用程序这些核心服务也可在 Windows NT 4.0、Windows 98 及 Windows 95 中使用Windows 2000 实现最显著的新功能是，它与域管理和策略模型集成，从而大大简化了企业内部的应用程序管理
　　
　　在本节的后面，我们阐述了 PKI 提供的核心应用程序服务
　　
　　PK 技术的使用取决于是否能够生成和管理一个或多个 PK 算法的密钥Microsoft 的 CryptoAPI 支持可安装的 CSP，该 CSP 支持各种加密算法的密钥生成和管理CryptoAPI 定义了标准接口，用于生成和管理密钥（对所有 CSP 均相同）
　　
　　存储密钥材料的机制取决于所选定的 CSPMicrosoft 提供的软件 CSP（或“基础”CSP）会基于每个用户或每个机器，将密钥材料以不同的加密形式存储另外，它们支持对公钥对的导出性（CRYPT_EXPORTABLE 标记）控制，以及对使用的控制（CRYPT_USER_PROTECT 标记）前者控制从 CSP 的私钥导出；后者决定了当应用程序试图使用该私钥时，用户的通知性能其他 CSP 可以实施不同的机制例如，智能卡 CSP 将公钥对存储在智能卡的防篡改硬件中，通常需要输入一个 PIN 代码，才能访问与私钥有关的操作对应用程序来说，这些“保护”机制是透明的；该程序可用 CSP 环境中独有的密钥设置名称，来引用所有密钥对
　　
　　
　　
　　密钥恢复
　　
　　CryptoAPI 体系结构与密钥恢复是兼容的，但并不能管理它在这种情况下，密钥恢复是指，对一个实体的私钥以某种方式进行{yj}存储，这种方式允许已授权的个人在不知道谁是拥有该私钥的实体，或没有得到该实体的同意下，就可以访问该私钥通常，这是为了访问重要商业信函，或为了满足执法的需要
　　
　　密钥恢复只有在用于{yj}性数据加密所用的密钥时，才是有用的对于基于 PK 的应用程序，它通常指实体密钥的交换密钥在归档标识或数字签名私钥时，其作用十分有限，并且冒很大风险这是因为，其{wy}的实际用途就是模拟私钥所有者
　　
　　Microsoft Exchange 现提供对密钥交换密钥的支持，这样，就可以阅读加密的电子邮件另外，第三方 CSP 也提供了对密钥恢复的广泛支持根据客户的需要，Microsoft 将来还会增加其他的密钥恢复功能
　　
　　正如前面讲到的，基于 PK 技术的实际应用一般取决于把公钥与已知实体绑定在一起的证书Windows 2000 PKI 支持 Microsoft 企业 CA 或第三方 CA 的证书登记登记支持是以与传输无关的方式实现的，并以使用工业标准的 PKCS-10 证书请求消息及包含产生的证书或证书链的 PKCS-7 响应为基础同时，还支持 RSA 密钥和签名的证书、数字签名算法 (DSA) 密钥和签名，以及 Diffie-Hellman 密钥
　　
　　Microsoft 提供的登记控制 (Xenroll.dll) 提供了对 PKCS-10 和 PKCS-7 消息的支持，这种控制可为基于 Web 的登记编写控制脚本，或由程序调用该控制，以实现对其他传输机制，如 RPC、DCOM 及电子邮件的支持该控制允许调用应用程序，来指定 PKCS-10 消息中包含的属性；允许使用原有密钥对或生成一个新的密钥对登记过程被假设为非同步的，登记控制提供了状态管理，使颁发的证书与等待的请求相匹配这就提供了这样一种方法，该方法可在证书、生成密钥对的 CSP 以及密钥对容器名称之间建立内部绑定
　　
　　PKI 支持多个登记方法，包括基于 Web 的登记、登记向导以及基于策略的“自动登记”（是用户登录过程的一部分）将来，Microsoft 计划采用 IETF PKIX 工作组中现有证书请求语法 (CRS) 草案相同的方式，来开发证书登记过程
　　
　　从概念上讲，证书更新与登记相似，但它利用了原有证书内在的信任关系证书更新假定请求实体需要一个新证书，新证书的属性与原有有效证书相同，但有效日期更长更新可使用原有的公钥或新公钥
　　
　　更新对 CA 特别有利可以推测，处理更新请求的效率会很高，因为此过程不需要重新验证原有证书的属性Windows 2000 PKI 支持对自动登记证书的更新对于其他机制，更新是作为一个全新的登记请求来处理的
　　
　　有关证书更新的工业标准消息协议尚未确定，但是已包含在 IETF PKIX CRS 草案中只要这些标准被批准，Microsoft 就会计划实施有关的消息格式
　　
　　在 Microsoft PKI 中，密钥和相关证书由 CryptoAPI 子系统存储和管理正如上文所述，密钥由 CSP 管理，而证书则由 CryptoAPI 证书存储区管理
　　
　　证书存储区是证书及其相关属性的库按照常规，PKI 定义了五个标准证书存储区：
　　
　　MY – 此存储区用于保存用户或机器的证书（相关私钥可用于该证书）
　　
　　CA – 此存储区用于保存颁发和中级 CA 证书（用于建立证书验证链）
　　
　　TRUST – 此存储区用于保存证书信任列表 (CTL)这些列表给管理员提供了其他机制，以指定一组可信 CA这样做的优点是：这组可信 CA 可以通过非安全链接进行传输，因为它们已经过数字签名
　　
　　BOOT – 此存储区仅保存可信根 CA 的自签名 CA 证书
　　
　　UserDS – 此存储区提供了保存在 Active Directory（例如，在用户对象的用户证书属性中）中的证书库的逻辑视图其目的是简化对这些外部库的访问
　　
　　这些是逻辑存储区，可展示驻留在多个物理存储区（硬盘、智能卡等）中的可用证书的全系统统一视图使用这些服务，应用程序可以共享证书，并保证管理策略的一致操作此证书管理功能支持对 X.509 v3 证书的解码，并提供枚举功能来帮助查找特定证书
　　
　　为简化应用程序的开发，MY 存储区会维护证书属性（表明 CSP 和相关私钥的密钥集名称）应用程序选定了要使用的证书后，该程序就会用此信息来获取正确私钥的 CSP 环境
　　
　　公钥对和证书一般价值较高如果由于系统故障而丢失，替换公钥对和证书要花费很长时间，并会造成经济损失为解决这一问题，Windows 2000 PKI 提供了可实施证书管理的管理工具，支持证书及相关密钥对的备份和恢复功能
　　
　　当用证书管理器导出证书时，用户必须指定是否同时导出相关密钥对如果选定该选项，该信息就会作为加密（基于用户提供的密码）PKCS-12 消息导出它随后会导入到该系统或其他系统中，用于恢复证书和密钥
　　
　　此操作假定密钥对可由 CSP 导出对于 Microsoft 基础 CSP 而言，如果在密钥生成时设置了导出标志，就可实现上述操作第三方 CSP 可支持，也可以不支持私钥导出例如，智能卡 CSP 一般不支持此操作对于带有不可导出密钥的软件 CSP，变通的方法是保持一个完整的系统映像备份，包括所有注册信息
　　
　　在本文中，“漫游”是指，在企业的 Windows NT 环境中，不同物理机器上使用同一个基于 PK 的应用程序的能力基本要求是，无论用户在何处登录，其密钥和证书都是可用的Windows 2000 PKI 以两种方式支持此功能
　　
　　{dy}，如果用的是 Microsoft 基础 CSP，密钥和证书漫游则由漫游配置文件机制支持