一、系統功能

認證系統的核心是證書CRL簽發系統,不但可給證書認證系統簽發證書/CRL,還負責整個系統中主要的安全管理。其主要功能如下：

(1)證書生成與簽發

數據庫中讀用戶信息,由擬簽發的證書類型申請加密密鑰對,生成用戶的簽名與加密證書,把簽發的證書發到目錄服務器和數據庫中。由系統配置與管理策略,不一樣種類或用途的證書可用不一樣的簽名密鑰。

(2)證書更新

系統應给予CA證書及用戶證書的更新功能。

(3)CRL生成與簽發

接收作廢信息,驗證作廢信息中的簽名,然後簽發CRL,把簽發後的CRL發佈到數據庫或目錄服務器中。簽發CRL的簽名密鑰可與簽發證書的密鑰相同或不同。

(4)安全審計

管理與操作人員的日誌查詢、統計及報表打印證書CRL生成與簽發系統。

(5)安全管理

安全訪問控制證書CRL生成與簽發系統的登錄,並管理和備價證書CRL數據庫;設置管理員、操作員,並為他們申請和下載數字證書；配置不一樣的密碼設備及證書模板。

證書/CRL生成與簽發系統應可並行處理。

二、模塊組成

證書CRL簽發系統由CRL生成與簽發、安全管理、安全審計、數據庫、目錄服務器及密碼設備等組成。

1.證書CRL生成與簽發

主要功能有證書與CRL/ARL的生成與簽發。

(1)證書的簽發

結合收到的請求信息,從數據庫中得到用戶信息,對密鑰管理系統申請加密密鑰對，之後生成並簽發籤名與加密證書,兩個證書的私鑰顺利获得證書管理系統下傳給申請者,同時把證書發佈到數據庫和目錄服務器中。在這個過程中,一定要確保私鑰傳遞的安全。

(2)CRL的簽發

先核實申請信息中的數字簽名，之後簽發CRL,並發到數據庫或目錄服務器的指定地方。

2.密碼設備

密碼設備完成簽名及驗證,並與其他系統通信過程中的運算,CA的簽名密鑰保存在設備中。上述工作時,須使所用的密鑰不能顺利获得明文形式被讀出設備。

3.安全管理

安全管理主要有以下內容：

①配置證書模板:不一樣的證書種類由不一樣的證書模板確定,模板有相應種類證書的基本項和擴展項。

②配置CRL發佈策略:可自動/人工發佈選擇、時間間隔。

③更新CA密鑰。

④備份和歸檔證書。

⑤安全配置服務器,含服務器可接受的主機訪問列表。

⑥給其他子系統定義管理員及給管理員簽發數字證書。

⑦數據庫系統的配置:數據源的選擇、連接的用戶名和口令設置。

4.安全審計

查證書CRL生成與簽發系統中的審計日誌,並統計與打印。