【TechTarget中国原创】公钥基础设施(PKI)是可以处理数字证书的公共密钥的创建的一组服务器。PKI系统可以维护数字证书，根据需要创建和删除证书。这种系统允许用户在公共网络上通过公共和私有的密码键安全地交换信息，而这些密码键的获取和访问是通过认证授权（CA）实现的。PKI提供了数字认证，这就是电子“信用卡”，包括认证授权的名称、用户名和有效期以及用户的公共密钥。数字证书是用于在在线交易中建立用户证书的。所有的证书都是数字授权发布的，而且包括证书发布的数字签名来验证接受者的授权。
 
　　当用户想要进入和用户或者系统的安全的交流时，他或者她只需向那个用户或系统发送他或者她的证书，然后这些用户或者系统使用CA的公共密钥来认证CA的私人密钥特征。这个过程可以验证发送者的公钥是否是真实的，而接受然后可以使用公共密钥进入于证书发送者的安全地交流。

　　虽然发送者的私人密钥不是用于认证的，但是它要求解密发送者的信息。交流只有在原始信息被解密后才能完成；这只能使用私人密钥，而只有用户可以访问。

　　在使用数字证书前，需要选择企业策略的终止日期。在选择终止日期时，需要考虑的两个因素是成本和安全。终止日期越久，就越贵，但是这不应该是做决定时考虑的唯一因素。证书的终止日期还可以影响PKI基础设施的安全性，而是意识到这一点很重要。

　　证书的生命周期越长，它所使用的公共和私人密钥也越长，而这会增加攻击的可能性。如果企业使用生命周期长的证书，例如两年，他们就需要在证书到期前更改公共和私人密钥。

　　PKI的实施和管理

　　PKI系统的一些最大劣势是他们很复杂而且很贵，要求相当细致的计划，而且维护、安装和实施也很难。

　　实施过程需要广泛的IT人员的参与，考虑PKI系统要求专门的个人硬件和服务器的全面工作。用户需要为系统的复杂的安全措施上挣扎。安全意识培训应该要求调解用户的问题或者关心的地方并确保系统合适的使用。这些培训应该指导用户如何通过一些最佳的安全实践保护他们的私人密钥，例如安全存储、站外笔记本保护，以及如何选择强大的登录密码和反恶意软件程序。

　　PKI可以被用于双因素认证的一种。这种技术可以和其他认证设备上一起使用，然后单一的认证方法的安全性就会增加了。

　　个人数字证书

　　为了缓解实施PKI的金融负担，有些企业为内部访问在内部系统中配置这种技术，而不在外部配置。外部实施要求企业获得从成本较高的CA中获取公共数字证书。当在内部配置PKI时，数字证书不需要来自已有的CA；他们可以通过企业的PKI自己标识，这是一种成本效益比较高的方法。

　　对于那些决定从公司获得数字证书的人来说，它应该只是为了内部访问。个人数字证书不能被外部识别，因为他们不是CA注册的。在一个大型企业中，个人证书可以被用于在员工中进行网络访问或者用于在远程部门中的文件或者系统的用户验证。