CA证书管理系统 技术白皮书94359.docVIP

CA证书管理系统 技术白皮书 第1章 前言 随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。Internet给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。 目前，保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系， 通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决公钥体系中公钥的合法性认证问题。 PKI/CA标准与协议的开发迄今已有15年的历史，目前的PKI/CA已完全可以向企业网络提供有效的安全保障。PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。 第2章 产品介绍 2.1 产品概述 SSPCA是企业级的CA系统，相对公共CA而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。企业级CA的用户之间的信任关系不是依赖于CA的可信性，而是依赖于技术以外的行政、上下级等关系。CA系统的主要目的是为这些用户在网络上进行业务活动时，提供更安全的保障。 所以，我们认为企业级CA与公共CA的最大不同点是如何与业务系统有机地结合，保证业务系统即安全又方便易用。 SSPCA是一个与安全服务平台结合的企业CA。如果需要独立的CA系统，建议购买 CA。 由于不同机构、企业的业务应用的多样性，导致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统需要很好的结构和扩展性，可以方便地构建和实施不同需求的证书管理系统系统。这就是 SSPCA遵循的产品策略。 SSPCA有一个稳定的核心，一个良好的结构。提供多种接口，可以方便地扩展规模和功能。包括证书申请方式（手工、批量、在线、离线）、增加各种证书保存介质（IC卡、USB key、软盘、文件）、选择证书发布方式（人工、WEB、目录服务器、邮件）、支持多种密钥生成方式（CA生成、客户生成）等。 2.2 证书管理系统体系 SSPCA证书管理系统可以做为独立的CA系统运行，也可以做为其它CA系统的子CA运行。 如果做为独立的CA系统，它有自己的根证书，并可以建立下级子CA。如果做为其它CA系统的子CA，则需要由其它CA为其签发一个CA证书。 通过操作终端申请、注销和管理证书。 - 6 - 其它CA CA 操作终端操作终端 2.3 证书管理系统组成 SSPCA 系统由CA 服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。 CA 服务器负责证书的申请、签发、作废和管理。数据库服务器存放CA 的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日常操作，目录服务器用于发布证书和黑名单。 CA服务器数据库服务器加密机/加密卡操作终端小型的企业证书管理系统 CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙路由器互联网内部网典型的企业证书管理系统 ? CA 服务器 CA 服务器负责接收证书申请、证书作废、证书恢复等请求，进行处理，并回复相应的处理信息。 ? 数据库服务器 存放所有的用户信息和证书信息。包括用户状态信息、证书信息、黑名单信息、CA 和操作员信息以及日志信息等。 ? 目录服务器 接收CA 服务器的证书和CRL 信息，利用LDAP 目录服务器发布证书和CRL。 ? 操作终端 操作员通过管理终端进行证书的申请、作废、查询、统计、设置等等工作。 ? 硬件密码机/卡 保存CA 的根密钥，对证书进行签名。 2.4 证书管理系统结构 SSPCA 证书管理系统主要包括2 部分： CA模块HW 接口加密机加密卡软件DBP10接口P7导出P12 导出通讯接口P12模块APP APP 文件方式批量发证目录接口LDAP IC卡USB key 文件密钥备份CA P12 DB 1. CA 服务模块，即CA 服务器，独立运行。 2. P12 模块，即操作终端，可以运行在CA 服务器上，也可以单独运行。 SSPCA 为二次开发提供多个接口： 1. HW 接口：密码设备接口 2. 目录服务器接口：可以支持各种LDAP 服务器 3. P10 请求生成证书接口：将不同方式生成的P10 证书请求发给CA 服务器 4. 导出P7证书接口：导出P7格式的证书。 5. 导出P12证书接口：导出P12格式的证书，包含有私钥 6. 用户密钥备份接口：可以备份系统生成的密钥 7. 文件方式批量发证接口：支持批量发证方式。 SSPCA的内部接口用于系统内部： 1. 数据库接口：支