Windows的公钥基础结构(PKI)增强功能

　　在以前版本的 Windows Server 中，对注册代理能代表哪些群体进行注册并没有什么限制。换句话说，一旦授予了用户注册代理能力，他就能够代表林中的其他任何用户进行注册。当然，这就意味着用户通过代表某位现有用户进行注册，进而使用新创建的证书假冒该用户，即可轻松升级自已的权限。为防止此类威胁，仅对具有高可信度的用户提供注册代理能力。这种方法虽然提高了安全性，但也使部署模型的灵活性降低，因为只有少量用户具有代表其他用户进行注册的能力。因此，地理位置分散的大型组织为最终用户(例如智能卡)部署证书的复杂度将会增加。

　　在 Windows Server 2008 中，可以将注册代理限制在更低的级别。可以针对能够代表哪些用户进行注册加以限制，也可以针对能够依照哪些模板进行注册加以限制，如图 3 所示。例如，现在，某组织可以赋予某个本地 IT 专业人员代表本分支机构内所有用户(而不是人力资源组中的用户)进行注册的能力。针对注册代理的这一精确方法使企业能在其组织内部更有效、更安全地委派注册能力。

　　图 3 注册代理限制

　　管理 PKI 的最大挑战之一是管理分散在组织内各设备中的所有密钥对。即使在一个不很复杂的 PKI 环境中，任何特定用户也可能具有若干个不同的密钥对(如 EFS、无线网络身份验证和 S/MIME)，并要求无论该用户从何处登录都可以使用这些密钥对。随着移动计算和终端服务的日益盛行，在网络内复制这些密钥对以便用户在任何位置登录都可以使用它们，将变得空前重要。虽然用户持有的令牌(如智能卡)有助于解决部分问题，但组织内可能仍然有用户没有卡或用户持有的证书并未存储在卡内。凭据漫游通过安全存储 Active Directory® 内部的密钥对和证书使得用户无论从何处登录都能够使用它们，从而解决了上述问题。