CA证书管理系统技术白皮书

1、CA证书管理系统技术白皮书第1章前言随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。Internet给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。目前，保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系，通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决公钥

2、体系中公钥的合法性认证问题。PKI/CA标准与协议的开发迄今已有15年的历史，目前的PKI/CA已完全可以向企业网络提供有效的安全保障。PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。第2章产品介绍2.1 产品概述SSPCAI企业级的CA系统，相对公共CA而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。企业级CA的用户之间的信任关系不是依赖于CA的可信性，而是依赖于技术以外的行政、上下级等关系。CA系统的主要目的是为这些用户在网络上进行业务活动时，提供更安全的保障。所以，我们认为企业级CA与公共CA的最大不同点是如何与业务系统有机地结合，保证业务系统即安全又方便易用。

3、SSPCA是一个与安全服务平台结合的企业CA如果需要独立的CA系统，建议购买CA。由于不同机构、企业的业务应用的多样性，导致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统需要很好的结构和扩展性，可以方便地构建和实施不同需求的证书管理系统系统。这就是SSPCA®循的产品策略。SSPCAt一个稳定的核心，一个良好的结构。提供多种接口，可以方便地扩展规模和功能。包括证书申请方式（手工、批量、在线、离线）、增加各种证书保存介质（IC卡、USBkey、软盘、文件）、选择证书发布方式（人工、WEB目录服务器、邮件）、支持多种密钥生成方式（CA生成、客户生成）等。2.2 证书

4、管理系统体系SSPCAE书管理系统可以做为独立的CA系统运行，也可以做为其它CA系统的子CA运行。如果做为独立的CA系统，它有自己的根证书，并可以建立下级子CA如果做为其它CA系统白子CA则需要由其它CA为其签发一个CA证书。通过操作终端申请、注销和管理证书。-6-其它CACA操作终端操作终端2.3 证书管理系统组成SSPCAS统由CA服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。CA服务器负责证书的申请、签发、作废和管理。数据库服务器存放CA的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日常操作，目录服务器用于发布证书和黑名单。CA服务器数据库服务器加密机/加

5、密卡操作终端小型的企业证书管理系统CA服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙路由器互联网内部网典型的企业证书管理系统CA服务器CA服务器负责接收证书申请、证书作废、证书恢复等请求，进行处理，并回复相应的处理信息。数据库服务器存放所有的用户信息和证书信息。包括用户状态信息、证书信息、黑名单信息、CA和操作员信息以及日志信息等。目录服务器接收CA服务器的证书和CRL信息，利用LDAP目录服务器发布证书和CRL操作终端操作员通过管理终端进行证书的申请、作废、查询、统计、设置等等工作。硬件密码机/卡保存CA的根密钥，对证书进行签名。2.4 证书管理系统结构SSPCAffi书管理

6、系统主要包括2部分：CA模块HW接口加密机加密卡软件DBP1瞅口P7导出P12导出通讯接口P12模块APPAPP文件方式批量发证目录接口LDAPIC卡USBkey文件密钥备份CAP12DB1. CA服务模块，即CA服务器，独立运行。2. P12模块，即操作终端，可以运行在CA服务器上，也可以单独运行。SSPCM二次开发提供多个接口：1 .HW接口：密码设备接口2 .目录服务器接口:可以支持各种LDAP服务器3 .P10请求生成证书接口：将不同方式生成的P10证书请求发给CA服务器4 .导出P7证书接口:导出P7格式的证书。5 .导出P12证书接口:导出P12格式的证书，包含有私钥6 .用户密钥

7、备份接口：可以备份系统生成的密钥7 .文件方式批量发证接口:支持批量发证方式。SSPCA勺内部接口用于系统内部：1 .数据库接口：支持多种数据库2 .CA与P12之间的通讯接口：支持多操作终端和远程操作终端。2.5 系统主要功能证书系统功能分为包括证书管理系统初始化、证书服务功能、证书管理功能、证书发布功能。系统初始化生成自签根证书、配置证书中心安全策略等证书服务功能签发证书、查询证书、注销证书、签发黑名单、输出证书、输出黑名单、输出根证书等证书管理功能生成证书中请、输出证书、发布发布、证书申请查询、安装根证书、数据备份等证书发布功能将证书写入IC卡、USBkey、文件等。将证书发布到目录服务

8、器。2.6 主要流程不同的CA系统，具操作流程也不完全相同，本着服务业务、方便使用、易于管理、确保安全的原则，设计各自的流程。不同的证书类型，流程也可能不同。2.7 -下面是证书申请和证书作废两个主要流程。证书申请流程1、证书申请a）证书申请方式一：人工录入，由操作员输入用户信息，然后生成证书中请。b）证书申请方式二：申请文件，需要签发证书的用户自己生成PKCS#1骼式的证书中请，由操作员将此证书申请文件导入本系统。c）证书申请方式三：批量自动，从目录服务器或文件中读取制定用户信息，生成证书申请。d）证书申请方式死：浏览器申请，客户自己从浏览器输入用户信息，生成证书申请。2、证书申请提交给CA

9、服务器3、证书发布到目录服务器、输出到文件、或IC卡等其它介质4、用户通过浏览器下载证书、或人工取得证书介质5、安装证书，使用证书证书注销申请流程1、操作员在已有的证书中选择需要注销的用户，根据此信息生成证书注销申请2、由CA服务器签发证书注销申请3、将证书注销列表（黑名单）输出到目录服务器或文件。4、用户下载使用2.7 产品特性证书标准符合X.509V3标准。证书类型证书管理系统自用的证书：自签的CA证书操作员证书用户证书：SSL客户证书（支持IE,Netscape等）.SSL服务器证书（支持IIS,Domino,Appache,Enterpris等）S/MIME证书（支持Outlook等）

10、代码签名证书证书格式支持PKCS7PKCS12O格式，支持PKCS10O申请。支持DERCERPEM证书编码。支持硬件支持硬件加密机和加密卡。根RSA密钥长度支持1024和2048位。支持算法类型RS颇法、DESt法、Triple-DES算法、IDEA算法、SDBI算法。证书载体文件、IC卡、USBKey证书发布方式离线客户证书密钥长度RSAg钥长度支持512、1024、2048位密钥生成方式支持客户生成RSA®钥和代用户生成RSA密钥证书申请方式-12-支持单个生成证书和批量生成证书协议类型支持Ldap协议、SSL安全套接字协、议。支持Netscape目录服务器数据库类型支持ODB

11、C勺数据库管理系统。SQLServer。运行环境CA服务器：Window2000操作终端：WindowNTWindow20002.8 适用客户适用于金融、证券、保险、税务、以及其它企业和政府机关建立自己的数字10万证书管理系统，为内部员工、客户、合作伙伴发放数字证书，证书数量在份以下。具体应用如下：(1)为企业内部OA系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储和传递、用于各种办公应用系统中的身份认证和访问控制。(2)为银行、证券等金融机构的业务系统的管理和操作人员发放证书，保证业务系统的身份认证、数据安全、传输安全和防抵赖。(3)为银行、证券等金融机

12、构内部OA系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储和传递、用于各种办公应用系统中的身份认证和访问控制。(4)为网上银行、网上证券的用户发放数字证书，保证网上交易的安全。(5)为企业与其供应链的上下级开展BtoB电子商务发放用于身份认证的数字证书。(6)为税务部门开展电子报税业务提供证书管理功能，为纳税企业和个人发放数字证书，保证网上报税业务的安全。2.9产品卖点(1)使用方便，易于管理，特别适用于用户群较为封闭、信任关系比较可靠的企业环境。数字证书是各实体在网上进行信息交流和商务交易活动的身份证明，身份认证的可靠性取决于数字证书的可靠性；数字证书是

13、由CA签发的,在一个具有开放用户群的环境中，申请证书的用户和CA之间没有一个现成的信任关系，为了保证证书的可靠性，在CA给用户发放数字证书之前要经过一个比较复杂的认证过程，所以证书的申请和发放过程较为复杂；而在一个企业(或类似企业)的环境中，用户群较为封闭，企业中的证书用户与CA(企业)之间存在一种信任关系，因此可以简化证书的申请和发放过程，这样，既可以通过使用数字证书提高系统的安全性，也不会给企业的员工和CA的管理者增加更多的负担，方便企业PKI安全基础设施的实施。SSPCAtt够很好地适应企业的这种需求(2)良好的扩充性和开发接口应用软件可以进行必要的开发，将证书管理系统和业务系统有机结合

14、，方便适用和管理。(3)用户数字证书的取得通常可以有两种方式，一种是通过公共的CA中心或其他单位的CA中心取得证书，另一种是通过自建的CA系统取得证书。对于企业级的用户，我们认为自建CA系统有如下优势：在管理方面：证书内容-自己建设证书管理系统，可以根据业务需要，定义证书的内容，灵活方便。中请流程-自己建设证书管理系统，可以根据业务需要，定义证书申请流程、审查标准和需要的材料。不同的证书，有不同的流程和标准。否则，必须符合其他认证中心的要求和流程。-14-证书介质-自己建设证书管理系统，可以根据需要确定不同证书的发放介质：软盘、IC卡或网上发布。应用开发的兼容性-开发应用系统时，可以只考虑业务

15、，而不必考虑证书的限制。因为自己建设的证书系统可以调整。业务发展的适应性-自己建设证书管理系统，随着业务的发展，可以调整证书管理系统以适应发展。使用其他CA中心，可能限制业务的发展。在法律方面：如果证书是其他CA中心发放的，法律问题涉及到三方。而国家目前还没有相应的法律。可能导致比较多的纠纷。在效益方面：使用第三方的证书，每份证书必须向CA中心交费。如果企业需要10000份数字证书，假设每年每个证书100元，一年就100万。每年需要交纳证书费用。而自己建设证书管理系统，成本是一次性的。以后，只有运行费。证书数越多，自己建设证书管理系统的成本越低。因此，我们建议企业建设自己的证书管理系统。2.10典型应用厦门地税网上报税系统项目在网上开展报税业务，为网上纳税个人和企业发放数字证书，实现