使用Luna Hsm 集成微软的证书服务系统，可以实现提高加密、签名速度、保护密钥生命周期，为整个加密基础架构提供信任基础。

Active Directory证书服务

 AD CS (Active Directory Certificate Services)为使用公钥 技术的软件安全系统，提供可定制的PKI (public key infrastructure)证书颁发和管理服务。AD CS提供的数字 证书可用于对电子文档和消息进行加密和数字签名。此外 ，这些数字证书可以用于网络上的计算机、用户或设备帐 户的身份验证。 

Windows server上的Microsoft ADCS提供可定制的服务，用于创建和管理使用公钥基础设施的软件安全系统中使用的公钥证书。

集成HSM用例的意义

组织通过将个人、设备或服务的身份绑定到相应 的私钥，使用公钥证书来增强其数字安全性。公钥基础结 构中的信任根是证书颁发机构(CA)。这种信任的基础是 CA的根加密签名密钥，它用于签名证书持有人的公钥， 更重要的是它自己的公钥。 

在设计PKI解决方案的关键方面之一是:确保适当的控制到 位。

 PKI解决方案的安全性主要围绕保护CA的私钥对。每个 CA都有一个私钥/公钥对。私钥用于签署crl，以及CA颁 发的证书。 

如果安装了Microsoft ADCS，私钥会受到DPAPI (Data Protection API)软件的保护。 尽管此方法提供了保护，但它不会阻止CA上 Administrators组成员的用户访问私钥。

 Microsoft ADCS 集成了Luna HSM或云端加密机服务（HSMoD）来保护根密钥。

使用HSM在本场景中的优势

--在FIPS 140-2 3级验证的硬件上安全生成、存储和保护身份签名私钥
--满足GDPR、eIDAS、HIPAA、PCI-DSS等的合规性要求
--多重角色以实现高度职责分离
--多人以MofN多因素认证方式实现高度安全性
--安全审核日志，管理合规化
--安全运输模式提高交付可信度
--密钥的完整生命周期管理使用优点
--远程管理HSM — 无需差旅本地管理

本用例了解如何将Luna Network HSM与微软ADCS集成，从而实现提高加密、签名速度、保护密钥生命周期，为整个加密基础架构提供信任基础。