CA认证专业系统设计Word格式.docx
- 文档编号:13424458
- 上传时间:2022-10-10
- 格式:DOCX
- 页数:11
- 大小:54.88KB
CA认证专业系统设计Word格式.docx
《CA认证专业系统设计Word格式.docx》由会员分享,可在线阅读,更多相关《CA认证专业系统设计Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
B.
证书类型多样性及灵活配置。
能够发放包含邮件证书、个人身份证书、企业证书、服务器证书、代码署名证书和VPN证书等多种类型证书;
C.
灵活认证体系配置。
系统支持树状用户私有认证体系,支持多级CA,支持交叉认证;
D.
高安全性和可靠性。
使用高强度密码保护密钥,支持加密机、智能卡、USBKEY等硬件设备和对应网络产品(证书漫游产品)来保留用户证书;
E.
高扩展性。
依据用户需要,对系统进行配置和扩展,能够发放多种类型证书;
系统支持多级CA,支持交叉CA;
系统支持多级RA。
F.
易于布署和使用。
系统全部用户、管理员界面全部是B/S模式,CA/RA策略配置和定制和用户证书管理等全部是经过浏览器进行,并含有具体操作说明。
G.
高兼容性。
支持多种加密机、多个数据库和支持多个证书存放介质。
1.2
认证体系设计
认证体系是指证书认证逻辑层次结构,也叫证书认证体系。
证书信任关系是一个树状结构,由自署名根CA为起始,由它签发二级子CA,二级子CA又签发它下级CA,以此递推,最终某一级子CA签发最终用户证书。
认证体系理论上能够无限延伸,但从技术实现和系统管理上,认证层次并非越多越好。
层次越多,技术实现越复杂,管理难度也增大。
证书认证速度也会变慢。
通常,国际上最大型认证体系层次全部不超出4层,而且浏览器等软件也不支持超出4层认证体系。
本方案设计用户CA认证系统采取以下图所表示认证体系:
图2
用户CA认证体系图
图所表示,认证体系采取3层结构:
ν
第一层是自署名用户根CA,是处于离线状态,含有用户权威性和品牌特征。
第二层是由用户根CA签发用户子CA,处于在线状态,它是签发系统用户证书子CA。
第三层为用户证书,由用户子CA签发,从用户证书证书信任链中能够看出整个用户CA认证体系结构,用户证书在用户应用范围内受到信任。
采取这种认证体系含有下列特点:
(1)表现用户权威性
从认证体系上看,用户CA含有自己统一根CA,由用户进行统一管理,负责整个用户认证体系、CA策略和证书策略定制和管理,这么充足表现了用户权威性。
(2)含有很好可扩展性
图所表示体系含有很好可扩展性,采取三层结构为体系扩展预留了空间(因为大多数应用全部只支持四层以下),依据用户实际应用需求,未来能够在子CA下,签发下级子CA;
或针对别应用再签发子CA这么,使得用户CA认证体系含有很好可扩展性。
(3)含有很好可操作性
采取三层体系结构,相对比较简单,在CA创建和管理上也相当比较轻易。
即使从技术上认证体系支持无限扩展,不过层次越多,技术实现越复杂,管理难度也增大。
而采取三层结构是现在业界比较通用、标准做法。
这么,使得用户CA认证体系含有很好可操作性。
1.3
系统网络架构
采取CA系统将为用户建设一个CA中心和一个RA中心,CA系统全部模块能够安装在同一台服务器上,也能够采取多台服务器分别安装各模块。
系统网络架构以下图所表示:
图3
CA系统网络架构示意图
图所表示,将CA系统CA认证中心和RA注册中心各模块安装在CA服务器上,为了确保系统安全,CA服务器必需在安全区域,即采取防火墙和外界进行隔离。
最终用户使用浏览器,访问CA服务器,进行证书申请和管理。
管理员(包含CA管理员和RA管理员,能够是同一个管理员担任)使用浏览器,访问CA服务器,进行证书管理和CA管理。
1.4
证书存放介质
本方案推荐使用USBKEY来保留用户证书及私钥。
USBKEY是以USB为接口存放设备,它便于携带和使用,能够实现在全部机器(含有USB接口)上漫游,能够满足用户移动办公需求。
USBKEY能够设置用户口令保护,增强了证书及私钥安全性。
为了在发生USBKEY丢失等情况时,私钥能够恢复或还能够用私钥解密以前加密邮件,在申请证书时,密钥对能够在系统中产生而不是在USBKEY中产生,当证书申请成功后,再将私钥和证书导入到USBKEY中;
同时系统能够以文件形式保留私钥和证书备份,这就提供了在USBKEY丢失时对用户私钥和证书保护方法。
1.5
CA系统功效
CA系统含有完善功效,采取iTrusCA系统设计用户CA认证系统也含有完善功效,包含:
(1)证书签发
经过CA认证系统,能够申请、产生和分发数字证书,含有证书签发功效。
用户访问CA认证系统,提交证书申请请求,申请数字证书;
RA管理员访问管理员站点,审查和同意用户证书申请请求;
CA认证中心依据RA管理员同意,签发用户证书,并将数字证书公布到目录服务器中。
用户CA认证系统,获取签发证书。
(2)证书生命周期管理
经过CA认证系统,能够实现证书生命周期管理,包含:
λ
证书申请最终用户使用浏览器,访问CA认证系统,能够进行证书申请,在线提交证书申请请求;
证书同意管理员登录管理员站点,完成证书同意功效,能够查看和审批最终用户证书申请请求;
证书查询最终用户能够经过CA认证系统,查询自己或她人数字证书;
证书下载经过CA认证系统,能够下载签发数字证书;
证书吊销最终用户在使用证书期间,有可能会出现部分问题,如:
证书丢失、忘记密码等,最终用户就需要将原证书吊销。
用户吊销证书时,能够直接访问CA认证系统,在线向CA提交证书吊销请求,CA认证系统依据用户选择,自动吊销用户证书,并将吊销证书添加到证书吊销列表(CRL)中,根据证书吊销列表公布周期进行公布;
证书更新在用户证书到期前,用户需要更新证书,用户访问CA认证系统,查询用户证书状态,对立即过期用户证书进行更新。
(3)CRL服务功效
CA认证系统支持证书黑名单列表(CRL)功效,能够配置指定RACRL下载地点及CRL公布时间。
CA认证系统定时产生CRL列表,并将产生CRL公布至Web层CRL服务模块,能够经过手工下载该CRL。
(4)目录服务功效
CA认证系统支持目录服务,支持LDAPV3规范,CA认证系统在签发用户证书时或对证书进行吊销处理时,会立即更新目录内容。
证书目录服务功效提供给用户进行证书查询功效,用户能够经过电子邮件(Email)、用户名称(CommonName)、单位名称(Organization)和部门名称(OU)等字段查找CA认证系统签发用户证书。
(5)CA管理功效
CA认证系统含有完善CA管理功效,包含:
管理员管理
RA管理员管理,包含初始化RA管理员申请、增加RA管理员、删除RA管理员;
CA管理员管理,包含初始化CA管理员申请、后续CA管理员证书申请、吊销CA管理员证书。
账号管理
个人账号管理,包含注册信息,证书信息等管理;
RA账号管理,包含RA账号申请、同意、吊销、额外管理员证书申请等。
策略管理
证书策略配置管理,高度灵活和可扩展配置CA所签发证书使用期、专题、扩展、版本、密钥长度、类型等方面;
RA策略配置管理,包含语言、联络方法、证书类型、是否公布到LDAP等;
CA策略配置管理,包含证书DN重用性检验、CA别名设置等。
(6)日志和审计功效
系统含有完善日志和审计功效,能够查看和统计多种日志,包含:
统计各CA、RA账号证书颁发情况;
统计全部RA和CA操作日志;
对全部操作人员操作行为进行审计。
(7)CA密钥管理
系统支持CA密钥管理功效,包含:
CA密钥产生和存放(软件和硬件);
CA证书(包含根CA和子CA)产生和管理;
CA密钥归档和备份。
1.6
证书应用开发接口(API)
为了实现基于数字证书安全应用集成,提供了完整证书应用开发接口(API),提供C、JAVA和COM等多个接口,包含:
个人信任代理(PTA)
个人信任代理(PTA)是用户端软件包,既包含安装在用户端文件加密/解密程序,也包含用于数字署名和署名验证ActiveX控件。
文件加/解密模块能够产生随机数密钥对文件进行加密,和使用输入密钥对文件进行解密;
ActiveX控件由用户访问相关网页时下载到用户端浏览器中,实现使用当地证书(私钥)对文件进行数字署名,和对署名进行验证。
证书解析模块(CPM)
证书解析模块是一系列平台下动态链接库,用于解析DER或PEM编码X.509数字证书,将证书中信息,包含用户信息、证书使用期、证书公钥等信息分解为字符串。
数据署名验证模块(SVM)
数据署名及验证模块是一系列平台下动态链接库或插件,能够应用于用户端和服务器端,实现对传输数据数字署名,和对数字署名及其证书进行验证。
证书验证可使用CRL或OCSP来进行有效性验证。
1.7
系统工作步骤设计
(1)证书发放步骤
本方案设计用户CA认证系统证书发放采取集中发证方法,即由管理员集中申请好证书,保留在USBKEY中,发放给用户使用。
其工作步骤以下图所表示:
图4
证书发放步骤图
(a)管理员使用浏览器,访问用户CA认证系统,进入证书申请页面,替最终用户填写证书申请信息,向用户CA认证系统提交证书申请请求。
在当地(当地USBKEY上)产生证书公私钥对,并将公钥和用户信息一起作为证书申请请求,提交给CA认证系统;
(b)CA认证系统依据管理员提交证书申请请求,同意并签发用户证书,将用户证书公布到数据库中。
同时,将用户证书返回到管理员端,保留到USBKEY中;
(c)管理员将申请好证书USBKEY发放给最终用户。
(2)证书吊销步骤
在用户证书私钥受到威胁、或用户私钥丢失时,需要吊销用户证书,依据用户信息系统应用情况,本方案设计证书吊销由管理员进行,其工作步骤以下:
(a)管理员在发觉用户违反使用要求,或用户自己向管理员发送邮件,请求吊销自己证书时,管理员访问CA认证系统管理员模块,进行用户证书吊销用户;
(b)管理员经过证书管理功效页面,查询到需要吊销用户证书;
(c)管理员选择吊销操作,选择吊销用户证书原因,向CA认证系统发送证书吊销请求;
(d)CA认证系统依据管理员证书吊销请求,自动吊销用户证书,并将吊销用户证书公布到证书吊销列表中,同时对数据库中保留用户证书最新状态进行更新;
(e)CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CA 认证 专业 系统 设计