第五章-认证机构.pptVIP

三级CA的网络结构 三级CA由内部网段与外部网段组成。 内部网段包括证书服务器、防火墙、监控管理终端和一个本地RA中心。 内部网段证书服务器接收来自RA管理服务器的证书签发请求和CRL签发请求、签发证书和CRL。 防火墙用于保护证书服务器的安全，防止从内部网络对证书服务器进行攻击。 证书申请注册中心RA--LRA网络结构 1．RA结构 证书申请注册中心设本地RA与远程RA。本地RA接收处理本地近程的用户申请，而远程RA是面向广大客户的注册申请机构。RA设录入、审核、制证和监控终端，它通过企业内部网与三级CA相连。RA管理服务器接收LRA的数据，并根据业务需求决定是否进行二次审核，审核受理点LRA转发给CA的签发申请。 2．业务受理点LRA结构 LRA是面向最终用户的申请机构，其主要功能是对用户提交的资料进行审核，以决定是否同意为该申请表签发证书。LRA只配置录入、审核和制证终端，LRA不设服务器，本地不存任何数据，LRA录入的所有用户数据存放在RA服务器中，LRA与RA组成Client／Server体系结构，由企业内部网连接。LRA的终端通过客户端软件连接到RA服务器进行数据操作。 CA根密钥的备份与恢复 根密钥的产生是由根密钥加密机(硬件加密模块)产生的，因此密钥备份由加密机系统管理员启动加密机管理程序执行，它将根密钥分割成多块，为每一块生成一个随机口令，使用该口令加密对应的密钥块。 然后将加密后的私钥块分别写入不同的IC卡中，每一个口令以一个文件形式保存，每人只能保存一块。 恢复密钥时，必须由各密钥备份持有人员分别插入各自保管的IC卡，并输入相应口令才能恢复根密钥。 运营CA的密钥备份和恢复 运营CA直接为各种用户实体签发证书，其密钥备份非常重要。 一般由加密机系统管理员启动加密机管理程序执行。 它将运营CA密钥切分成多块，为每一块生成一个随机口令，使用该口令加密对应的密钥块。然后将加密的私钥块分别写入不同的IC卡中，每个口令以一个文件形式保存，最后将每行IC卡及其对应的口令文件交给备份人员保存，每人只能保存一块。 当需要密钥恢复时，其做法与根密钥恢复时做法相同。 用户密钥的备份与恢复 用户的加密密钥，在CA签发用户证书时，即可做用户密钥备份。 一般是将用户密钥存放在CA的资料库中。 若用户密钥丢失或其他原因，用户不愿意撤消原密钥，希望能对原密钥进行恢复，就可以根据密钥对历史存档进行恢复。 在完成这个恢复过程之后，相应的软件将产生一个新的签名密钥对来代替旧的签名密钥对。 5.1.7证书废止列表(CRL)的管理功能 1.证书废止的原因 2. CRL的产生及发布 3.企业证书及CRL的在线服务功能 证书废止的原因 密钥泄密：证书的私钥或加密公钥泄密。 从属变更：某些关于密钥的信息变更，为机构从属变更等。 终止使用：该密钥对已不再需要用于原用途。 CA本身原因：由于CA系统私钥泄密，在更新自身密钥和证书的同时，必须用新的私钥重新签发所有它发放的下级证书。 CRL的产生及发布 Entrust／PKI提供成熟的、易于使用的、标准的证书列表作废系统。在此系统中，证书作废是自动完成的，并且对用户是透明的。在PKI中，CRL是通过LDAP目录服务系统进行发布的。CRL并不存放作废证书的全部内容，而只存放作废证书的序列号(Serial Number)，以便提高检索速度。CRL产生的主要步骤是。 (1)注册中心管理员使用软件工具撤消相关证书，提出撤消理由，建立与CA中心的连接。 (2)认证中心发表被撤消证书的序列号，签发到CRL中，同时将该证书放入作废证书数据库。 (3)系统通过LDAP目录发送新的CRL。 企业证书及CRL的在线服务功能 1．证书的在线查询 用户可以从X．500目录中查询对方接收者的加密公钥证书。在用户与CA之间这种查询连接是通过安全交换协议(SEP)实现的。 2.CRL在线查询 Entrust／PKI使用LDAP在线目录系统进行CRL发布，用户可以通过在线方式查询。 5.2认证机构CA的系统结构 5.2.1总体结构 5.2.2第一层根CA(Root CA) 5.2.3第二层CA 5.2.4第三层CA 5.2.5证书注册申请机构RA 5.2.6受理点LRA 5.2.7不同 CA之间的互通 5.2.8CA的网络结构 5.2.1总体结构 作为PKI的CA系统分两大类：一是SET CA系统；二是non-SET CA系统。 non-SET CA系统结构为： 第一层为根CA，即Root CA(简称RCA)。 第二层CA为政策性CA，称Policy CA，简称PCA。 第三层为终端用户CA，也称运营CA( Operation CA)，简称OCA。 Root CA Policy CA Operati