保证系统的安全,CA服务器必须位于安全的区域,即采用防火墙与外界进行隔离。最终用户使用浏览器,访问CA服务器,进行证书申请和管理。管理员(包括CA管理员和RA管理员,可以是同一个管理员担任)使用浏览器,访问CA服务器,进行证书管理和CA管理。
1.4 证书存储介质
本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足用户移动办公的需求。USB KEY可以设置用户口令保护,增强了证书及私钥的安全性。
为了在发生USB KEY丢失等情况时,私钥可以恢复或者还可以用私钥解密以前的加密邮件,在申请证书时,密钥对可以在系统中产生而不是在USB KEY中产生,当证书申请成功后,再将私钥和证书导入到USB KEY中;同时系统可以以文件的形式保留私钥和证书的备份,这就提供了在USB KEY丢失时对用户私钥和证书的保护措施。
1.5 CA系统功能
CA系统具有完善的功能,采用iTrusCA系统设计的用户CA认证系统也具有完善的功能,包括:
(1)证书签发
通过CA认证系统,能够申请、产生和分发数字证书,具有证书签发功能。用户访问CA认证系统,提交证书申请请求,申请数字证书;RA管理员访问管理员站点,审查和批准用户的证书申请请求;CA认证中心根据RA管理员的批准,签发用户证书,并将数字证书发布到目录服务器中。用户CA认证系统,获取签发的证书。
(2)证书生命周期管理
通过CA认证系统,可以实现证书的生命周期管理,包括: ?
证书申请 最终用户使用浏览器,访问CA认证系统,可以进行证书申请,在线提交证书申请请求; ?
证书批准 管理员登录管理员站点,完成证书批准功能,可以查看和审批最终用户的证书申请请求; ?
证书查询 最终用户可以通过CA认证系统,查询自己或别人的数字证书; ?
证书下载 通过CA认证系统,可以下载签发的数字证书; ?
证书吊销 最终用户在使用证书期间,有可能会出现一些问题,如:证书丢失、忘记密码等,最终用户就需要将原证书吊销。用户吊销证书时,可以直接访问CA认证系统,在线的向CA提交证书吊销请求,CA认证系统根据用户的选择,自动吊销用户的证书,并将吊销的证书添加到证书吊销列表(CRL)中,按照证书吊销列表的发布周期进行发布; ?
证书更新 在用户证书到期前,用户需要更新证书,用户访问CA认证系统,查询用户的证书状态,对即将过期的用户证书进行更新。
(3)CRL服务功能
CA认证系统支持证书黑名单列表(CRL)功能,能够配置指定RA的CRL下载地点及CRL发布时间。CA认证系统定时产生CRL列表,并将产生的CRL发布至Web层CRL服务模块,可以通过手工下载该CRL。
(4)目录服务功能
CA认证系统支持目录服务,支持LDAP V3规范,CA认证系统在签发用户证书时或者对证书进行吊销处理时,会及时更新目录内容。证书目录服务的功能提供给用户进行证书查询的功能,用户可以通过电子邮件(Email)、用户名称(Common Name)、单位名称(Organization)和部门名称(OU)等字段查找CA认证系统签发的用户证书。
(5)CA管理功能
CA认证系统具有完善的CA管理功能,包括: ?
管理员管理 ?
RA管理员管理,包括初始化RA管理员申请、增加RA管理员、删除RA管理员; ?
CA管理员管理,包括初始化CA管理员申请、后续CA管理员证书申请、吊销CA管理员证书。 ?
账号管理 ?
个人账号管理,包括注册信息,证书信息等管理; ?
RA账号管理,包括RA账号申请、批准、吊销、额外管理员证书申请等。 ?
策略管理 ?
证书策略配置管理,高度灵活和可扩展的配置CA所签发证书的有效期、主题、扩展、版本、密钥长度、类型等方面; ?
RA策略配置管理,包括语言、联系方法、证书类型、是否发布到LDAP等; ?
CA策略配置管理,包括证书DN重用性检查、CA别名设置等。
(6)日志与审计功能
系统具有完善的日志与审计功能,可以查看和统计各种日志,包括: ?
统计各CA、RA账号证书颁发情况; ?
记录所有RA与CA的操作日志; ?
对所有操作人员的操作行为进行审计。
(7)CA密钥管理
系统支持CA密钥管理功能,包括: ?
CA密钥产生和存储(软件与硬件); ?
CA证书(包括根CA和子CA)的产生和管理; ?
CA密钥归档与备份。
相关推荐:
loading