建立和配置Windows PKI
PKI的一個關鍵部分是Microsoft證書服務。它支持部署一個或多個企業級CA。這些CA支持證書的頒發和吊銷。它們與Active Directory集成在一起，Active Directory提供CA的位置信息、CA的策略，并公布頒發證書和吊銷證書的信息。

PKI并未取代現有基于域控制器（DC）和Kerberos密鑰分發中心（KDC）的Windows NT域信任和身份驗證機制，而是與這些服務配合使用，增強了性能，使應用程序得以方便地擴展，以滿足extranet和Internet的需求。尤其值得一提的是，PKI滿足了對于擴展的分布式標識和身份驗證、完整性和保密性的需求。

在運行Windows Server 2003、Windows XP、Windows 2000或Windows NT的工作站和服務器以及運行Windows 95和Windows 98的工作站上均支持創建、部署和管理基于PKI的應用程序。Microsoft CryptoAPI是這些服務的基礎。它為可安裝的加密服務提供程序（cryptographic service provider，CSP）的加密功能提供標準接口。這些CSP可能是基于軟件的，或利用加密硬件設備實現的。它們能夠支持各種算法和密鑰強度。有些與Windows 2003一起發行的CSP就利用支持Microsoft PC/SC的智能卡基礎結構。

在加密服務層上是一組證書管理服務。這些服務支持X.509 v3標準證書，提供永久存儲、枚舉服務以及解碼支持。最上層是用于處理標準工業消息格式的服務。這些服務主要是用來支持PKGS標準以及發展中的Internet工程任務組（IETF）PKI X.509（PKIX）草案標準。

 注意：關于IETF和X.509的更多信息，請查看網站www.ietf.org。
 

其他服務使用CryptoAPI為應用程序開發人員提供其他的功能。安全通道（schannel）使用工業標準的TLS和SSL協議來支持網絡身份驗證和加密。可用Microsoft WinInet接口訪問這些服務，以便通過SSPI接口與HTTP協議（HTTPS）或與其他協議一起使用。Authenticode支持對象簽名和身份驗證。雖然也可用于其他環境，但它主要用于確定Internet下載組件的來源和完整性。同時還支持通用智能卡接口。這些接口以一種與應用程序無關的方式集成加密智能卡，同時也是集成Windows 2003中智能卡登錄的基礎。