数字证书是各实体在网上进行信息活动的身份证明。在通讯的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。认证中心(CA─Certificate Authority)作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
本方案提供了一个功能齐备,流程合理的CA系统建设模型。按照本方案建立的CA系统可以满足绝大多数企业需要,签发企业所需要各类型数字证书;依照本方案建立的CA系统符合国际标准,签发的证书可以很容易同其它CA系统互通;另外,依据本方案建立的CA系统投资少,操作直接方便。
一些企业拥有相当独立的应用业务,拥有较大数量的相对客户群体,为了对用户管理的方便以及安全方面的考虑,需要在企业内部建立一个CA机构,对其拥有的客户颁发数字证书,行使CA的职能。
考虑到充分利用系统资源,同时要具备CA的全部业务职能,本方案提供了一个非常紧凑使用的CA系统框架。
1.CA系统
1.1企业级CA系统的功能
CA系统的用户包括:CA系统管理员(负责建立CA系统,维护其正常运行),CA操作员(负责证书用户资料录入,审核,制作),证书用户三种。对应三种用户类型,CA系统的功能可以描述如下:
对CA系统管理员:
1、建立CA系统网络结构;
2、生成、备份、恢复CA系统的根密钥;
3、签发和发布CA系统的根证书;
4、打印密码信封,管理DES KEY;
5、生成RSA密钥对;
6、签发CA系统操作员证书,进行操作员管理;
7、进行CA系统日审计,月审计,年审计,打印报表;
8、备份和恢复CA系统数据库,CA系统应用程序;
对CA系统操作员:
1、登陆CA系统;
2、录入、修改、审核个人证书申请资料,制作个人证书;
3、录入、修改、审核单位/部门证书申请资料,制作单位/部门证书;
4、录入、修改、审核多种WebServer证书申请资料,制作WebServer证书;
5、录入、修改、审核IE代码签名证书申请资料,制作IE代码签名证书;
6、录入、审核个人证书废除申请信息,单位证书废除信息;
7、统计和打印本受理点证书业务资料;
对CA系统证书用户:
1、申请使用个人身份证书;
2、申请废除个人身份证书;
3、申请使用单位/部门身份证书;
4、申请废除单位/部门身份证书;
5、申请使用WebServer证书;
6、申请使用IE/Netscape代码签名证书;
7、申请使用安全电子邮件证书;
8、申请废除安全电子邮件证书;
1.2 CA中心系统网络结构
整个CA的核心处理系统将处于一个局域网上,使用防火墙同INTERNET隔开,防止非法入侵和恶意攻击。防火墙、HUB等硬件,操作系统等可以利用公司原有软硬件资源。
1.3 CA中心系统构成
1、CA Manager
2、CA Server
CAServer,CA服务器
KeyGen,密钥生成器
CRL、LDAP
OCSP服务器
LDAP服务器
WEB服务器
3、 SJY05加密机
SJY05加密机是经国家密码委认证通过的密码产品,操作系统平台为Linux,在CA系统中的功能是:
安全生成和保管CA系统的根密钥对;
加密机上启动的安全服务进程处理外部的数据加解密、数字签名和验证功能;
4、 PrintEnv
打印用户密码信封(该密码信封中的密码为证书用户的初始的私钥密码);
2. 证书受理点RA
证书受理点是直接面对客户的营业窗口,由操作员面对客户提供证书服务。每个受理点配备三名操作员,所有的操作员(资料录入员、资料审核员、证书制作员)均配备操作员IC卡(IC卡中存放操作员的个人数字证书,通过CA中心的CAMgr程序产生),操作员的所有业务操作均在服务器端登记详细日志。
证书受理点的主要业务有:
录入员登陆CA系统,录入用户证书申请、废除信息;
审核员登陆CA系统,审核用户证书申请、废除信息;
制作员登陆CA系统,制作用户证书;
2.1证书受理点网络结构
证书受理点同CA中心的连接方式非常灵活,可以通过公司原有的局域网上Internet连接到CA,或者通过拨号方式连接到CA,业务量非常大的受理点可以通过DDN专线连接到CA中心。
2.2 证书受理点模块
受理点只有唯一的程序CAOper,开发语言为Visual C++6.0,通过TCP/IP同CA系统的CAServer交互,单个应用程序维护简单,升级方便。
不同类别的操作员(录入员、审核员、制作员)登陆系统,根据操作员的类别,程序激活对应的功能。录入员只有录入和修改(在资料未审核或审核不通过时可以更改申请信息)用户申请资料的权限;审核员只有审核用户信息的权限,不可以更改用户信息;制作员只有将已经在CA签发好的证书和私钥信息制作到用户证书盘/IC卡/USB棒的权限。
CAOper同CA系统的CAServer程序交互过程中,采用数字信封(采用CAServer的数字证书制作数字信封)和数字签名(采用操作员IC卡中的私钥进行数字签名)技术,保证信息的保密性、真实性、完整性、不可抵赖性。
任何一个操作员,都可以统计和打印本受理点操作员的日统计,月统计,年统计信息。
CAOper资料录入功能
录入个人数字证书申请信息;
录入单位数字证书申请信息;
录入Web Server证书申请信息;
录入IE 代码签名证书申请信息;
录入个人数字证书废除信息;
录入单位数字证书废除信息;
修改个人数字证书申请信息;
修改单位数字证书申请信息;
修改Web Server证书申请信息;
修改IE 代码签名证书申请信息;
修改个人数字证书废除信息;
修改单位数字证书废除信息;
CAOper资料审核功能
审核个人数字证书申请信息;
审核单位数字证书申请信息;
审核Web Server证书申请信息;
审核IE 代码签名证书申请信息;
CAOper证书制作功能
制作个人数字证书;
制作单位数字证书;
制作Web Server证书;
制作IE 代码签名证书;
(根据用户需求,证书可以制作到软盘,IC卡或USB棒或用户指定的系统支持的存储介质,存放证书信息,私钥信息,P12信息)
