1703483590
1703483591
作为CA,必须具有如下基本功能:
1703483592
1703483593
(1)签发数字证书;
1703483594
1703483595
(2)CA密钥的管理;
1703483596
1703483597
(3)接受证书申请,审核申请者身份;
1703483598
1703483599
(4)证书管理;
1703483600
1703483601
(5)提供证书和证书状态的查询。
1703483602
1703483603
以上功能中,最为重要的是签发证书。CA对其签发的数字证书全部内容(包括证书用户姓名标识、公钥信息、颁发者标识、证书有效期、签名算法标识等信息)进行数字签名。从而权威地证明了证书持有者和公钥的唯一匹配关系。
1703483604
1703483605
CA的另一项重要功能是证书查询。CA的证书库可以作为公钥的来源地。此外,证书有效性的查询对于安全认证也是至关重要的。由于证书遗失或其他原因,证书可能需要在失效期未到时就予以撤销。CA提供证书撤销列表(Certificate Revocation List,简称CRL)或其他方法供证书依赖方实时查询。
1703483606
1703483607
3.CA的组成部分
1703483608
1703483609
CA主要由以下部分组成:
1703483610
1703483611
(1)CA服务器:这是CA的核心,是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
1703483612
1703483613
(2)证书下载中心:该中心连接在互联网上,用户通过登录CA网站访问证书下载中心,CA服务器生成的证书通过证书下载中心供用户下载。
1703483614
1703483615
(3)目录服务器:功能是提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。
1703483616
1703483617
(4)OCSP服务器:该服务器向用户提供证书在线状态的查询。
1703483618
1703483619
(5)密钥管理中心(KMC):根据国家密码管理规定,加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。
1703483620
1703483621
(6)证书注册机构(Registration Authority,简称RA):负责受理证书的申请和审核,其主要功能是接受客户证书申请并进行审核。RA主要是远程的,CFCA的RA部署在各家用户银行、税务机关或企业所在地。因为,这样一方面便于进行客户资料的审查,另一方面也便于银行将证书与客户的账号进行绑定,以实现认证。但即使RA部署在远程所在地,这些RA也仍然是CA的组成部分。
1703483622
1703483623
1703483624
1703483625
1703483626
4.CA的结构
1703483627
1703483628
一般的PKI/CA系统都为层次结构,这里就以CFCA系统结构为例来说明:在系统设计之初,CA系统由根CA(1个)、政策CA(3个)和运营CA(多个)三部分组成。
1703483629
1703483630
1703483631
1703483632
1703483633
当初设计这种结构的初衷是,CFCA希望做成全国性的金融CA,向公众提供服务。这样,根CA的作用主要是负责制定和审批CA的总策略,向政策CA发放证书,以及与国际其他PKI域的CA进行交叉认证。三个政策CA则分别负责制定和审批银行、证券、保险领域CA的策略,向运营CA发放证书。运营CA则负责颁发最终用户的证书。
1703483634
1703483635
由于三层结构CA的证书链较长,认证速度效率较低,而且认证业务并没有按原来所设想的方向发展,政策CA实际上只建了1个,原来的初衷未能实现。因此,CFCA后来新建的CA系统全部采用RCA-OCA两层的扁平结构,省略了政策CA这层。
1703483636
1703483637
1703483638
1703483639