1.1 系统简介 本系统是参照国际领先的CA 系统的设计思想,继承了国际领先CA 系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能,能够完成从企业自主建立标准 CA 到政府、行业建立大型服务型 CA 等全面的需求。 CA 系统采用模块化结构设计,由最终用户、RA 管理员、CA 管理员、注册中心(RA)、认证中心(CA)等构成,其中注册中心(RA)和认证中心(CA)又包含相应的模块,系统架构如下图: 图 1 CA 系统模块架构图 CA 系统能提供完善的功能,包括: 证书签发、证书生命周期管理、证书吊销列表(CRL)查询服务、目录查询服务、CA 管理、密钥管理和日志审计等全面的功能。 CA 系统按照用户数量的不同分为小型 iTrusCA、标准型 iTrusCA、企业型iTrusCA 和大型 iTrusCA,不同类型系统的网络建设架构是不同的。 CA 系统具有下列特点: A. 符合国际和行标准; B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和 VPN 证书等各种 类型的证书; C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证; D. 高安全性和可靠性。使用高强度密码保护密钥,支持加密机、智能卡、USB KEY 等硬件设备以及相应的网络产品(证书漫游产品)来保存用户的证书; E. 高扩展性。根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。 F. 易于部署与使用。系统所有用户、管理员界面都是B/S 模式,CA/RA 策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。 G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。 1.2 认证体系设计 认证体系是指证书认证的逻辑层次结构,也叫证书认证体系。证书的信任关系是一个树状结构,由自签名的根 CA 为起始,由它签发二级子CA,二级子CA又签发它的下级CA,以此递推,最后某一级子CA 签发最终用户的证书。 认证体系理论上可以无限延 伸 ,但 从 技 术 实 现 与系统管理上,认证层次并非越 多越 好 。层次越 多,技 术 实 现 越 复 杂 ,管理的难 度也增 大 。证书认证的速 度也会 变 慢 。一般 的,国 际 上最大 型的认证体系层次都不 超 过 4 层,并且 浏览器等软件也不 支持超...
