----公 开 密 钥 基 础 设 施（Public Key Infrastructure， PKI） 是 近 几 年 涌 现 的 一 种 新 的 安 全 技 术， 它 是 由 公 开 密 钥 密 码 技 术、 数 字 证 书、 证 书 发 行 机 构（Certificate Authority，CA） 和 关 于 公 开 密 钥 的 安 全 策 略 等 基 本 成 分 共 同 组 成 的。MS Windows NT 4.0 及 其 后 续 者Windows 2000， 提 供 了Windows 环 境 下 的PKI。 特 别 是Win2000 的PKI， 可 以 使 企 业 网 络 管 理 员 为 企 业 网 络 建 立 完 善 的、 适 合 企 业 应 用 需 求 的PKI。 　

　　----Microsoft PKI 的 基 础 是 它 的 加 密API — CryptoAPI 2.0， 该API 为 公 开 密 钥 安 全 机 制 提 供 了 加 密 服 务 和 证 书 管 理 服 务。CryptoAPI 的 加 密 服 务 执 行 诸 如 密 钥 产 生、 数 字 签 名 和 加 密 等 功 能， 而 证 书 管 理 服 务 提 供 了 管 理 和 存 储X.509v3 数 字 证 书 的 功 能。Win2000 PKI 的 组 成 部 件 有： 密 码 服 务 提 供 者（Cryptographic Service Provider ，CSP）、 证 书 服 务 器(Certificate Server）、 智 能 卡 服 务、 安 全 通 道、 认 证 码(Authenticode)、 加 密 文 件 系 统（Encrypting File System，EFS）、 Microsoft Exchange Server 密 钥 管 理（Key Management，KM） 服 务 器 和PKI 应 用 程 序。Win2000 PKI 的 基 本 构 架 如 下 图 所 示（图略）。　　

　　----Win2000 具 有 模 块 化 的PKI 结 构， 使 管 理 员 能 够 方 便 地 升 级、 集 成、 扩 展 和 开 发 企 业 的PKI， 而 无 需 改 变 下 层 的 操 作 系 统 内 核。 例 如，Exchange Server 5.5 使 用 它 的KM 服 务 器 来 发 行 和 管 理Exchange Server 客 户 证 书， 而 在 安 装 了Service Pack 1 之 后， 它 就 使 用Certificate Server 而 不 是KM 服 务 器 来 完 成 这 些 任 务 了。 　　

　　----开 发 人 员 可 以 建 立 基 于Microsoft 提 供 的 PKI 部 件 和CryptoAPI 的PKI 应 用 程 序， 如 可 以 使 用CryptoAPI 和 数 字 证 书 来 加 密 和 认 证MMQS（Microsoft Message Queue Server） 应 用 程 序 中 的 消 息。 管 理 员 可 以 根 据 网 络 应 用 的 需 求， 有 选 择 地 使 用Microsoft PKI 部 件。 若 企 业 需 要 建 立 一 个 安 全 的Web 站 点， 就 可 以 使 用Certificate Server 和IIS 及IE 内 嵌 的 安 全 通 道 功 能。