2024年4月19日发(作者:)

一、什么是CA

CA是认证机构的国际通称,是指对数字证书的申请者发放、管理、取消数字证书的机构。CA

的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡

改。

CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。

二、CA的总体结构

一般来讲,CA主要由几个部分组成:

1、注册服务器

通过WebServer建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候

在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。

2、证书申请受理和审核机构

负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。

3、认证中心服务器

是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书注销列表(CRL)的生成和处理

等服务。

三、CA的主要功能

一般来讲,认证中心的功能有证书发放、证书更新、证书注销和证书验证。CA的核心功能就是

发放和管理数字证书,具体描述如下:

1、接收验证最终用户数字证书的申请。

2、确定是否接受最终用户数字证书的申请—证书的审批。

3、向申请者颁发、拒绝颁发数字证书—证书的发放。

4、接收、处理最终用户的数字证书更新请求—证书的更新。

5、接收最终用户数字证书的查询、撤销。

6、产生和发布证书注销列表(CRL)。

7、数字证书的归档。

8、密钥归档。

9、历史数据归档。

四、什么是RA

RA(RegistrationAuthority)—注册中心,即数字证书注册审批机构,它是CA系统的一个功能组件。

它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误

引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责

任的机构担任。

五、RA的逻辑结构

注册中心(RA)包括证书注册模块、自动管理模块、证书注销列表(CRL)模块、本地目录服务模块

和RA数据库等,其中证书注册模块是必须的模块,后面四个模块根据客户的实际需求可以选

择配置。

六、RA的主要功能

注册中心面向终端用户和注册中心操作员,它在整个PKI体系结构中起承上启下的作用。用户

可以使用浏览器与注册服务器通信,用户首先得到注册服务器的证书,然后,用户与服务器之

间的所有通信,包括用户填写的申请信息均以服务器的公钥加密,只有服务器利用自己的私钥

解密才能得到明文。注册中心服务器要向CA服务器转发证书申请、撤销、更新等请求。

如果把CA中心比作制证机关,那么为用户发放这些证书的发证机关即是注册中心—RA,它必须

能够保证:

1、自身密钥的管理:包括加密密钥及签名密钥的保存、使用、更新和销毁。

2、审核用户信息:对申请注册的用户证书信息进行审核、审计,保证相应的人员授权于相应权

限。

3、登记黑名单:对过期的证书及因各种原因而撤消的证书及时登记并向CA中心发送,以确保

CRL的及时更新,并对CRL进行管理。

注册中心RA是直接面向于用户的;认证中心CA负责审核证书申请者的真实身份,审核通过后,

由认证中心完成认证过程。所以RA具有发证授权的权威性,而认证中心则相当于提供技术支持、

维护整个制证加工厂的厂商。