CA证书管理系统技术白皮书

2024年4月19日发(作者：)

CA证书管理系统

技术白皮书

第1章序言

跟着国内网络规模的扩大和用户集体的急剧增添，在中国展开大规模电子政

务和电子商务应用和服务将会成为社会的潮流，而怎样保证网上电子政务和电子

商务的安全性将会成为限制其发展的重点技术问题。Internet

给人们带来方便

的同时，也带来了安全问题，安全问题是应用网络技术最担忧的问题，

而怎样保

障电子证书和电子商务活动的安全，将向来是核心研究领域。当前，保障电子商务

安全比较成熟的技术方案是采纳PKI认证框架系统，经过使用数字证书和加密、数

字署名技术实现交易两方身份确实认和信息的加密传递。加密技术中的

公然钥加密技术最好地解决了密钥的管理和散提问题。而证书中心计构就是解决公钥

系统中公钥的合法性认证问题。PKI/CA标准与协议的开发迄今已有15年的历史，

当前的PKI/CA已完好能够向公司网络供给有效的安全保障。PKI/CA是一个以被宽

泛认同的一种成熟的安全整体解决方案。

第2章产品介绍

2.1产品概括

SSPCA是公司级的CA系统，相对公共CA而言，公司证书管理系统合适于一

个机构、一个公司的内部业务系统。公司级CA的用户之间的相信关系不是依靠

于CA的可信性，而是依靠于技术之外的行政、上下级等关系。

CA系统的主要目

的是为这些用户在网络长进行业务活动时，供给更安全的保障。所以，我们认

为公司级CA与公共CA的最大不一样点是怎样与业务系统有机地联合，保证业务系

统即安全又方便易用。SSPCA是一个与安全服务平台联合的公司CA。假如需要独

立的CA系统，建议购置CA。因为不一样机构、公司的业务应用的多样性，导

致公司证书管理系统需要定制或客户化以知足客户的需求。公司级证书管理系统

需要很好的构造和扩展性，能够方便地建立和实行不一样需求的证书管理系统系

统。这就是SSPCA按照的产品策略。

SSPCA有一个稳固的核心，一个优秀的结

构。供给多种接口，能够方便地扩展规模和功能。包含证书申请方式（手工、批

量、在线、离线）、增添各样证书保留介质（

IC卡、USBkey、软盘、文件）、选

择证书公布方式（人工、WEB、目录服务器、邮件）、支持多种密钥生成方式（CA

生成、客户生成）等。

2.2证书管理系统系统

SSPCA证书管理系统能够做为独立的CA系统运转，也能够做为其余CA系统

的子CA运转。假如做为独立的

CA系统，它有自己的根证书，并能够成立下级

子CA。假如做为其余CA系统的子CA，则需要由其余CA为其签发一个CA证书。

经过操作终端申请、注销和管理证书。-6-

其余CACA操作终端操作终端

2.3证书管理系统构成

SSPCA系统由CA服务器、目录服务器、数据库服务器、硬件密码机、操作

终端构成。CA服务器负责证书的申请、签发、作废和管理。数据库服务器寄存

CA的数据、恳求数据、证书和黑名单数据。操作终端供给证书申请的管理和日

常操作，目录服务器用于公布证书和黑名单。

CA服务器数据库服务器加密机

/加密卡操作终端小型的公司证书管理系统

CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙

路由器互联网内部网典型的公司证书管理系统

CA服务器

CA服务器负责接收证书申请、证书作废、证书恢复等恳求，进行办理，并

答复相应的办理信息。

数据库服务器

寄存全部的用户信息和证书信息。包含用户状态信息、证书信息、黑名单信

息、CA和操作员信息以及日记信息等。

目录服务器

接收CA服务器的证书和CRL信息，利用LDAP目录服务器公布证书和

CRL。

操作终端