CA证书管理系统技术白皮书

《CA证书管理系统技术白皮书》由会员分享，可在线阅读，更多相关《CA证书管理系统技术白皮书（9页珍藏版）》请在装配图网上搜索。

1、CA证书管理系统 技术白皮书第1章 前言 随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。Internet给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。 目前，保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系， 通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就

2、是解决公钥体系中公钥的合法性认证问题。 PKI/CA标准与协议的开发迄今已有15年的历史，目前的PKI/CA已完全可以向企业网络提供有效的安全保障。PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。 第2章 产品介绍 2.1 产品概述 SSPCA是企业级的CA系统，相对公共CA而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。企业级CA的用户之间的信任关系不是依赖于CA的可信性，而是依赖于技术以外的行政、上下级等关系。CA系统的主要目的是为这些用户在网络上进行业务活动时，提供更安全的保障。 所以，我们认为企业级CA与公共CA的最大不同点是如何与业务系统有机地结合，保证业务

3、系统即安全又方便易用。 SSPCA是一个与安全服务平台结合的企业CA。如果需要独立的CA系统，建议购买 CA。 由于不同机构、企业的业务应用的多样性，导致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统需要很好的结构和扩展性，可以方便地构建和实施不同需求的证书管理系统系统。这就是 SSPCA遵循的产品策略。 SSPCA有一个稳定的核心，一个良好的结构。提供多种接口，可以方便地扩展规模和功能。包括证书申请方式（手工、批量、在线、离线）、增加各种证书保存介质（IC卡、USB key、软盘、文件）、选择证书发布方式（人工、WEB、目录服务器、邮件）、支持多种密钥生成方式（CA生成

4、、客户生成）等。 2.2 证书管理系统体系 SSPCA证书管理系统可以做为独立的CA系统运行，也可以做为其它CA系统的子CA运行。 如果做为独立的CA系统，它有自己的根证书，并可以建立下级子CA。如果做为其它CA系统的子CA，则需要由其它CA为其签发一个CA证书。 通过操作终端申请、注销和管理证书。 - 6 - 其它CA CA 操作终端操作终端 2.3 证书管理系统组成 SSPCA 系统由CA 服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。 CA 服务器负责证书的申请、签发、作废和管理。数据库服务器存放CA 的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日常操作

5、，目录服务器用于发布证书和黑名单。 CA服务器数据库服务器加密机/加密卡操作终端小型的企业证书管理系统CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙路由器互联网内部网典型的企业证书管理系统 CA 服务器 CA 服务器负责接收证书申请、证书作废、证书恢复等请求，进行处理，并回复相应的处理信息。 数据库服务器 存放所有的用户信息和证书信息。包括用户状态信息、证书信息、黑名单信息、CA 和操作员信息以及日志信息等。 目录服务器 接收CA 服务器的证书和CRL 信息，利用LDAP 目录服务器发布证书和CRL。 操作终端 操作员通过管理终端进行证书的申请、作废、查询、统计、设置等等工

6、作。 硬件密码机/卡 保存CA 的根密钥，对证书进行签名。 2.4 证书管理系统结构 SSPCA 证书管理系统主要包括2 部分： CA模块HW 接口加密机加密卡软件DBP10接口P7导出P12 导出通讯接口P12模块APP APP 文件方式批量发证目录接口LDAP IC卡USB key 文件密钥备份CA P12 DB 1. CA 服务模块，即CA 服务器，独立运行。 2. P12 模块，即操作终端，可以运行在CA 服务器上，也可以单独运行。 SSPCA 为二次开发提供多个接口： 1. HW 接口：密码设备接口 2. 目录服务器接口：可以支持各种LDAP 服务器 3. P10 请求生成证书接口：

7、将不同方式生成的P10 证书请求发给CA 服务器 4. 导出P7证书接口：导出P7格式的证书。 5. 导出P12证书接口：导出P12格式的证书，包含有私钥 6. 用户密钥备份接口：可以备份系统生成的密钥 7. 文件方式批量发证接口：支持批量发证方式。 SSPCA的内部接口用于系统内部： 1. 数据库接口：支持多种数据库 2. CA与P12之间的通讯接口：支持多操作终端和远程操作终端。 2.5 系统主要功能 证书系统功能分为包括证书管理系统初始化、证书服务功能、证书管理功能、证书发布功能。 系统初始化 生成自签根证书、配置证书中心安全策略等 证书服务功能 签发证书、查询证书、注销证书、签发黑名单

8、、输出证书、输出黑名单、输出根证书等 证书管理功能 生成证书申请、输出证书、发布发布、证书申请查询、安装根证书、数据备份等 证书发布功能 将证书写入IC卡、USB key、文件等。将证书发布到目录服务器。 2.6 主要流程 不同的CA系统，其操作流程也不完全相同，本着服务业务、方便使用、易于管理、确保安全的原则，设计各自的流程。不同的证书类型，流程也可能不同。 - 10 - 下面是证书申请和证书作废两个主要流程。 证书申请流程 1、证书申请 a) 证书申请方式一：人工录入，由操作员输入用户信息，然后生成证书申请。 b) 证书申请方式二：申请文件，需要签发证书的用户自己生成PKCS#10格式的证

9、书申请，由操作员将此证书申请文件导入本系统。 c) 证书申请方式三：批量自动，从目录服务器或文件中读取制定用户信息，生成证书申请。 d) 证书申请方式死：浏览器申请，客户自己从浏览器输入用户信息，生成证书申请。 2、证书申请提交给CA服务器 3、证书发布到目录服务器、输出到文件、或IC卡等其它介质 4、用户通过浏览器下载证书、或人工取得证书介质 5、安装证书，使用证书 证书注销申请流程 1、操作员在已有的证书中选择需要注销的用户，根据此信息生成证书注销申请 2、由CA服务器签发证书注销申请 3、将证书注销列表（黑名单）输出到目录服务器或文件。 4、用户下载使用 2.7 产品特性 证书标准 符合

10、X.509 V3标准。 证书类型 证书管理系统自用的证书： 自签的CA证书 操作员证书 用户证书： SSL客户证书（支持IE，Netscape 等）. SSL服务器证书（支持IIS，Domino，Appache，Enterpris 等） S/MIME证书（支持Outlook等） 代码签名证书 证书格式 支持PKCS7、PKCS12证书格式，支持PKCS10证书申请。支持DER、CER、PEM证书编码。 支持硬件 支持硬件加密机和加密卡。根RSA密钥长度支持1024和2048位。 支持算法类型 RSA算法、DES算法、Triple-DES算法、IDEA算法、SDBI算法。 证书载体 文件、IC卡

11、、USB Key。 证书发布方式 离线 客户证书密钥长度 RSA密钥长度支持512、1024、2048位 密钥生成方式 支持客户生成RSA密钥和代用户生成RSA密钥 证书申请方式 - 12 - 支持单个生成证书和批量生成证书 协议类型 支持Ldap协议、SSL安全套接字协议。支持Netscape目录服务器 数据库类型支持 ODBC的数据库管理系统。 SQL Server。 运行环境 CA服务器：Window 2000 操作终端：Window NT、Window 2000 2.8 适用客户 适用于金融、证券、保险、税务、以及其它企业和政府机关建立自己的数字证书管理系统，为内部员工、客户、合作伙伴

12、发放数字证书，证书数量在10万份以下。具体应用如下： （1）为企业内部OA系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储和传递、用于各种办公应用系统中的身份认证和访问控制。 （2）为银行、证券等金融机构的业务系统的管理和操作人员发放证书，保证业务系统的身份认证、数据安全、传输安全和防抵赖。 （3）为银行、证券等金融机构内部OA系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储和传递、用于各种办公应用系统中的身份认证和访问控制。 （4）为网上银行、网上证券的用户发放数字证书，保证网上交易的安全。 （5）为企业与其供应链的

13、上下级开展BtoB电子商务发放用于身份认证的数字证书。 （6） 为税务部门开展电子报税业务提供证书管理功能，为纳税企业和个人发放数字证书，保证网上报税业务的安全。 2.9 产品卖点 （1）使用方便，易于管理，特别适用于用户群较为封闭、信任关系比较可靠的企业环境。 数字证书是各实体在网上进行信息交流和商务交易活动的身份证明，身份认证的可靠性取决于数字证书的可靠性；数字证书是由CA签发的，在一个具有开放用户群的环境中，申请证书的用户和CA之间没有一个现成的信任关系，为了保证证书的可靠性，在CA给用户发放数字证书之前要经过一个比较复杂的认证过程，所以证书的申请和发放过程较为复杂；而在一个企业（或类似

14、企业）的环境中，用户群较为封闭，企业中的证书用户与CA（企业）之间存在一种信任关系，因此可以简化证书的申请和发放过程，这样，既可以通过使用数字证书提高系统的安全性，也不会给企业的员工和CA的管理者增加更多的负担，方便企业PKI安全基础设施的实施。 SSPCA能够很好地适应企业的这种需求 （2）良好的扩充性和开发接口 应用软件可以进行必要的开发，将证书管理系统和业务系统有机结合，方便适用和管理。 （3）用户数字证书的取得通常可以有两种方式，一种是通过公共的CA中心或其他单位的CA中心取得证书，另一种是通过自建的CA系统取得证书。对于企业级的用户，我们认为自建CA系统有如下优势： 在管理方面： 证

15、书内容 - 自己建设证书管理系统，可以根据业务需要，定义证书的内容，灵活方便。 申请流程 - 自己建设证书管理系统，可以根据业务需要，定义证书申请流程、审查标准和需要的材料。不同的证书，有不同的流程和标准。否则，必须符合其他认证中心的要求和流程。 - 14 - 证书介质 - 自己建设证书管理系统，可以根据需要确定不同证书的发放介质：软盘、IC卡或网上发布。 应用开发的兼容性 - 开发应用系统时，可以只考虑业务，而不必考虑证书的限制。因为自己建设的证书系统可以调整。 业务发展的适应性 - 自己建设证书管理系统，随着业务的发展，可以调整证书管理系统以适应发展。使用其他CA中心，可能限制业务的发展。

16、 在法律方面： 如果证书是其他CA中心发放的，法律问题涉及到三方。而国家目前还没有相应的法律。可能导致比较多的纠纷。 在效益方面： 使用第三方的证书，每份证书必须向CA中心交费。如果企业需要10000份数字证书，假设每年每个证书100元，一年就100万。每年需要交纳证书费用。而自己建设证书管理系统，成本是一次性的。以后，只有运行费。证书数越多，自己建设证书管理系统的成本越低。 因此，我们建议企业建设自己的证书管理系统。 2.10 典型应用 厦门地税网上报税系统项目 在网上开展报税业务，为网上纳税个人和企业发放数字证书，实现纳税人的身份认证、报税信息的机密性、完整性、不可否认性。 农发行电子联行系统安全项目 本项目的安全方案是一个基于数字证书的、采用PKI技术进行身份认证和信息加密的系统安全方案。首先，在总行中心建立数字证书管理系统，负责为营业所操作员、二级运维中心的服务器和总行中心的服务器发放数字证书；然后在总行中心、二级运维中心、营业所分别配置各自的安全模块，这些安全模块负责完成身份认证、信息加密、数字签名等功能。 - 15 - 中国移动一级BOSS安全项目 采用数字证书保证BOSS系统重要数据传输的安全。