文档介绍:CA证书管理系统 技术白皮书
第1章前言
随着国内网络规模的扩大和用户群体的急剧增加,在中国开展大规模电子政 务和电子商务应用和服务将会成为社会的潮流,而如何保证网上电子政务和电子 商务的安全性将会成为制约其发展的关键技术问题。Internet给人们带来方便 的同时,也带来了安全问题,安全问题是应用网络技术最担心的问题,而如何保 障电子证书和电子商务活动的安全,将一直是核心研究领域。目前,保障电子 商务安全比较成熟的技术方案是采用PKI认证框架体系,通过使用数字证书和 加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的 公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决 公钥体系中公钥的合法性认证问题。PKI/CA标准与协议的开发迄今已有15年 的历史,目前的PKI/CA已完全可以向企业网络提供有效的安全保障。PKI/CA是 一个以被广泛认可的一种成熟的安全整体解决方案。
第2章产品介绍
2. 1产品概述
SSPCA是企业级的CA系统,相对公共CA而言,企业证书管理系统适合于一 个机构、一个企业的内部业务系统。企业级CA的用户之间的信任关系不是依赖 于CA的可信性,而是依赖于技术以外的行政、上下级等关系。CA系统的主要目 的是为这些用户在网络上进行业务活动时,提供更安全的保障。所以,我们认 为企业级CA与公共CA的最大不同点是如何与业务系统有机地结合,保证业务系 统即安全又方便易用。SSPCA是一个与安全服务平台结合的企业CA。如果需要 独立的CA系统,建议购买CAo由于不同机构、企业的业务应用的多样性,导 致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统 需要很好的结构和扩展性,可以方便地构建和实施不同需求的证书管理系统系 统。这就是SSPCA遵循的产品策略。SSPCA有一个稳定的核心,一个良好的结 构。提供多种接口,可以方便地扩展规模和功能。包括证书申请方式(手工、批
量、在线、离线)、增加各种证书保存介质(IC卡、USB key、软盘、文件)、选 择证书发布方式(人工、WEB、目录服务器、邮件)、支持多种密钥生成方式(CA 生成、客户生成)等。
2. 2证书管理系统体系
SSPCA证书管理系统可以做为独立的CA系统运行,也可以做为其它CA系统 的子CA运行。如果做为独立的CA系统,它有自己的根证书,并可以建立下级 子CA。如果做为其它CA系统的子CA,则需要由其它CA为其签发一个CA证书。 通过操作终端申请、注销和管理证书。- 6 -
其它CA CA操作终端操作终端
2. 3证书管理系统组成
SSPCA系统由CA服务器、目录服务器、数据库服务器、硬件密码机、操作 终端组成。CA服务器负责证书的申请、签发、作废和管理。数据库服务器存放 CA的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日 常操作,目录服务器用于发布证书和黑名单。
CA服务器数据库服务器加密机/加密卡操作终端小型的企业证书管理系统
CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙 路由器互联网内部网典型的企业证书管理系统
CA服务器
CA服务器负责接收证书申请、证书作废、证书恢复等请求,进行处理,并 回复相应的处理信息。
数据库服务器
存放所有的