CA认证系统设计

CA认证系统设计

1.1系统简介

本系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先

进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等

全面的需求。

CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA八

认证中心（CA）等构成，其中注册中心（RA ）和认证中心（CA）又包含相应的模块，系统

架构如下图:

弭册V心

7!

认址U心＜

图1 CA系统模块架构图

CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。

CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大

型iTrusCA ，不同类型系统的网络建设架构是不同的

CA 系统具有下列特点：

A. 符合国际和行标准；

B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN 证书等各种类型的证书；

C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA ，支持交

叉认证；

D. 高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USB KEY 等

硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书；

E. 高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA ，支持交叉CA ；系统支持多级RA。

F. 易于部署与使用。系统所有用户、管理员界面都是B/S 模式，CA/RA 策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。

G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。

1.2 认证体系设计

认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树

状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA , 以此递推，最后某一级子CA 签发最终用户的证书。

认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。

层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系本方案设计的用户的CA认证系统采用如下图所示的认证体系:

用户证书用户陆鶴

图2用户CA认证体系图

如图所示，认证体系采用3层结构:

第一层是自签名的用户根CA，是处于离线状态的，具有用户的权威性和品牌特性。

第二层是由用户根CA签发的用户子CA，处于在线状态，它是签发系统用户证书的子

CA。

第三层为用户证书，由用户子CA签发，从用户证书的证书信任链中可以看出整个用户的CA认证体系结构，用户证书在用户的应用范围内受到信任。

采用这种认证体系具有下列特点:

（1）体现用户的权威性

从认证体系上看，用户CA具有自己的统一的根CA，由用户进行统一管理，负责整个用

户的认证体系、CA策略和证书策略的定制与管理，这样充分体现了用户的权威性

（2）具有很好的可扩展性

如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多

数应用都只支持四层以下），根据用户实际应用需求，将来可以在子CA下，签发下级子CA；

或者针对别的应用再签发子CA这样，使得用户CA认证体系具有很好的可扩展性。

（3）具有很好的可操作性

采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。虽然从技术上

认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层

结构是目前业界比较通用的、标准的做法。这样，使得用户CA认证体系具有很好的可操作

性。

1.3系统网络架构

采用CA系统将为用户建设一个CA中心和一个RA中心，CA系统的所有模块可以安

装在同一台服务器上，也可以采用多台服务器分别安装各模块。系统网络架构如下图所示：

浏览器

图3 CA系统网络架构示意图

如图所示，将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA 服务器必须位于安全的区域，即采用防火墙与外界进行隔离。最终用户使用浏览器，访问CA 服务器，进行证书申请和管理。管理员（包括CA 管理员和RA 管理员，可以是同一个管理员担任）使用浏览器，访问CA 服务器，进行证书管理和CA 管理。

1.4 证书存储介质

本方案推荐使用USB KEY 来保存用户的证书及私钥。USB KEY 是以USB 为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB 接口）上的漫游，可以满足用户移动办公的需求。USB KEY 可以设置用户口令保护，增强了证书及私钥的安全性。

为了在发生USB KEY 丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USB KEY 中产生，当证书申请成功后，再将私钥和证书导入到USB KEY 中；同时系统可以以文件的形式保留私钥和证书的备份，这就提供了在USB KEY 丢失时对用户私钥和证书的保护措施。

1.5 CA 系统功能

CA 系统具有完善的功能，采用iTrusCA 系统设计的用户CA 认证系统也具有完善的功能，包括：

（1）证书签发

通过CA 认证系统，能够申请、产生和分发数字证书，具有证书签发功能。用户访问CA 认证系统，提交证书申请请求，申请数字证书；RA 管理员访问管理员站点，审查和批准用户的证书申请请求；CA 认证中心根据RA 管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。用户CA 认证系统，获取签发的证书。

（2）证书生命周期管理

通过CA 认证系统，可以实现证书的生命周期管理，包括：

证书申请最终用户使用浏览器，访问CA 认证系统，可以进行证书申请，在线提交证书申请请求；