Windows Server 2008 中進行了大量升級，通過以高可用性方式使證書頒發機構 (CA) 服務更容易設置、監視和運行，改進了該服務的可管理性。CA 設置與角色管理器工具集成，并提供了安裝 CA 服務的簡單方法。為過程中的每個步驟都定義了默認設置，現在設置可以在無人參與模式下執行。最后，設置擁有了更好的診斷功能，使其更容易對可能出現的故障或問題進行故障排除。

　　Windows Server 2008 中大大增強了對 CA 服務的監視(在 Windows Vista 中擁有全面的證書診斷)。除了跨整個產品的更加靈活的事件記錄基礎結構外，現在 CA 服務自身還擁有一個內置監視控制臺并與 Systems Center Operations Manager 2007(以前稱為 MOM)相關聯以提供企業級警報。企業 PKI 監視控制臺是對 Windows Server 2003 AdminPak 中引入的其前身的改進。新的控制臺包含在產品本身中，除了監視指定林中的所有 CA 外，現在還可以監視聯機證書狀態協議 (OCSP) URI。

　　Operations Manager 管理包為組織的 PKI 提供了一種被動監控功能，其中包括基于閾值的內置警報。例如，管理包可用于監視證書吊銷列表 (CRL) 的刷新情況，當 CRL 達到過期日期前的特定天數或小時數時，則向 PKI 管理員發出警告。最后，還提供了許多新的性能計數器，幫助進行故障排除和監視 CA 服務本身的整體性能。這些計數器可用于捕獲數據，如每秒頒發多少證書。

　　在 Windows Server 2008 中初次亮相的新功能：支持 CA 服務硬件級別的群集。此群集支持采用標準 Microsoft 群集服務 (MSCS) 技術并支持兩節點的主動/被動配置。群集支持使您能夠以高可用性方式運行頒發基礎結構，可用于地理位置各異的群集部署。如果您選擇應用群集支持，請注意，單是使 CA 群集化并不會導致整個 PKI 都可用。盡管群集可以幫助確保 CA 自身可用，但正常運行的 PKI 很可能包含未直接在 CA 上運行的其他組件。例如，CRL 分發點 (CDP) 和 OCSP 響應程序都必須以高可用性方式運行以確保可以執行吊銷。此外，當采用硬件安全模塊 (HSM)，尤其是基于網絡的 HSM 時，它們都在 PKI 中顯示潛在的故障點。群集是一個強大的新增功能，用于為證書頒發機構本身提供高可用性，但它不是使整個 PKI 部署可用的萬能藥。

　　吊銷

　　長期以來，CRL 一直用于提供對證書的有效性檢查。這些 CRL 包括有效期尚未過期但不再受信任的所有證書的序列號。例如，如果某個員工的證書的過期日期為 12/31/2008，但該員工在 9/1/2007 離開了該組織，則其證書的序列號將被添加到 CRL 中。然后，該 CRL 將可用于多個 CRL 分發點 (CDP)，如 HTTP 和輕型目錄訪問協議 (LDAP) 路徑。

　　盡管被廣泛使用，但 CRL 仍存在一些關鍵的不足之處。首先，CRL 由 CA 定期發布(通常每天一次或兩次)。然后，客戶端下載這些 CRL 并將其緩存直到下一個發布間隔。在此緩存期內，證書可能被吊銷，而客戶端可能不了解最新的狀態。其次，在大型組織中，CRL 的大小可能會增長到非常大(有時會超過 100MB)。在大型、廣為分散的網絡范圍內分發這些文件會非常困難甚至無法分發，在分支機構方案或其他有限帶寬環境中尤為如此。

　　為解決這些問題，RFC 2560 中創建并定義了 OCSP。OCSP 提供了驗證證書狀態的實時方法。OCSP 客戶端在需要檢查葉證書有效性的計算機上運行。然后，該客戶端軟件引用 OCSP 響應程序并發送一條消息詢問葉證書的有效性狀態。該響應程序會檢查證書的有效性，并實時向客戶端做出響應。此方法避免了緩存和分發問題。

　　OCSP 客戶端功能首次包括在了 Windows Vista 中(以前需要使用第三方軟件)并可通過組策略進行配置。默認情況下，Windows 將嘗試使用 OCSP，但如果響應程序不可用，將回退到標準 CRL 查詢。

　　在 Windows Server 2008 中，提供了 OCSP 響應程序來回應這些要求。該響應程序通過角色管理器安裝并可由 Operations Manager 2007 管理包監視。由于客戶端和響應程序都符合 OCSP 標準，所以可以輕松地將它們集成到采用類似于基于標準的第三方組件的現有 OCSP 環境中。例如，完全支持讓 Windows Vista 客戶端根據第三方響應程序檢查證書狀態，以及讓 Windows Server 2008 響應程序來響應來自第三方客戶端應用程序的查詢。此外，Windows OCSP 響應程序還可以應答由任何符合標準的 CA 頒發的證書的請求。不要求使用 Windows Server 2008 CA(和通常所說的基于 Windows 的 CA)。

　　總結

　　Windows Vista 和 Windows Server 2008 中的 PKI 平臺包括許多增強功能和若干新增功能，這些功能可使部署和操作 PKI 更安全，成本更低。新的 CNG API 為開發人員提供了更輕松的編程環境，并支持新的加密標準。注冊改進使組織可以更輕松地大量置備證書并在整個企業內實現密鑰的安全漫游。同樣，新的管理包和 CA 群集功能使監視 CA 的狀態更加容易并可確保高可用性。最后，吊銷檢查中的改進使用基于標準的方法提供對證書的實時驗證，而不會產生 CRL 分發的帶寬成本。因此，Windows Vista 和 Windows Server 2008 使 Windows PKI 平臺提升到了一個新級別。