企业产品

数字证书认证系统

数字证书认证系统是以PKI技术为基础建立的,负责发放和管理数字证书的信息安全系统。数字证书认证系统严格遵循国家密码管理局的数字证书相关规范,提供数字证书的申请、审核、签发、注销、更新、查询等功能。

当前位置: 首页 > 数字证书基础设施 > 数字证书认证系统

    数字证书认证系统是以PKI技术为基础建立的,负责发放和管理数字证书的信息安全系统。数字证书认证系统严格遵循国家密码管理局的数字证书相关规范,提供数字证书的申请、审核、签发、注销、更新、查询等功能。

    安软天地的数字证书认证系统包括数字证书认证服务器、注册审核服务器、密钥管理服务器、证书/OCSP查询服务器等基础模块,协作构成的完整的、高效的认证体系架构,是一套成熟的、可靠的数字证书基础设施产品。

    安软天地数字证书认证系统在设计上符合国际通用标准,同时严格遵循国密办的各项规定,是一套开放式的系统,支持多级CA的分布式部署。核心架构采用Java语言开发,具有良好的平台兼容性。系统设计灵活、可扩展性强。

    一、数字证书认证服务器

    证书认证服务器是数字认证系统的核心,具体功能介绍如下:

    1. 证书管理
    2. 证书管理主要包括证书的申请,查看、下载,更新,冻结,解冻、归档、注销等操作。

    3. 模板管理
    4. 内置有十几种标准证书模板及标准证书扩展域,能够满足大多数的证书签发需求。同时支持自定义证书模板和自定义扩展域。

    5. 权限管理
    6. 管理员采用基于数字证书的身份验证机制,管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理,管理员间权限分离,某一管理员只管理某一部分功能并受其他管理员监督。

    7. 机构管理
    8. 机构指的是注册审核服务器。一个证书认证服务器可对应多个注册审核服务器,在证书认证服务器的管理端实现对机构的管理。

    9. 证书归档和证书统计
    10. 证书认证服务器支持对已过期长期不用的证书进行归档和统计。

    二、注册审核服务器

    注册审核服务器是证书认证服务器的证书发放、管理等业务的延伸,具体功能介绍如下:

    1. 证书管理
    2. 主要包括证书的申请,审核、制作、下载、查看、更新、冻结,解冻、归档、注销等操作。

    3. 用户管理
    4. 在注册审核服务器设置了三种类型的用户,分别是个人用户、企业用户和机器用户。系统提供对三种用户的管理。

    5. DN 规则管理
    6. 系统提供了证书规则定义和管理功能,通过用户信息或企业信息中的某些特定项来自动生成证书主题信息,免去用户掌握证书主题规则的专业性,降低用户使用系统的难度。

    7. 模板管理
    8. 注册审核服务器中的模板使用证书认证服务器同步过来的模版,进行统一配置审核策略,即注册审核服务器中的所有用户根据模板的不同采用不同的审核策略,并且不同的业务采取不同的审核策略。

    三、密钥管理服务器

    密钥管理服务器为证书签发系统提供用户加密密钥的生成及管理服务,具体功能介绍如下:

    1. 密钥管理
    2. 密钥管理包括密钥产生,在用密钥的查询、统计与备份、密钥归档。

    3. 机构管理
    4. 密钥管理服务器对需要进行密钥申请的机构进行统一管理,可以对多个机构提供密钥管理服务,包括机构添加、查看、任命、参数设置、冻结、解冻、注销。

    5. 权限管理
    6. 管理员采用基于数字证书的身份验证机制,管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理,管理员间权限分离,某一管理员只管理某一部分功能并受其他管理员监督。

    7. 密钥恢复和司法取证
    8. 可以从密钥管理服务器的数据库中提取出欲恢复密钥(私钥)并进行保存。司法取证员可在密钥管理服务器进行密钥恢复操作。

    四、证书/OCSP查询服务器

    系统提供对证书及证书状态查询的支持,用户可以通过标准的证书状态查询接口来获取证书有效性的检查结果,任何证书的作废应能够即时反映到在线证书查询中。

    根据用户的业务需求,数字证书认证系统的各个模块可以灵活部署。

    一、典型集中部署

    典型集中部署方式符合国密对于数字认证中心的技术规范要求,适合网络环境成熟、证书用户多、发证量大的核心业务应用系统使用。

    典型集中部署方式需要为数字证书认证服务器、注册审核服务器、密钥管理服务器、以及这三个服务配置各自的数据库主机和加密机。并且按照核心区、管理区和服务区划分网段和物理空间。所有服务器主机部署在同一机房中。

    发证方式为通过注册审核服务器管理终端集中发证。

    典型集中部署方式逻辑严谨、安全性高、适用性强,适合行业级及大中型组织使用。

    图1 典型集中部署拓扑图

    二、简化集中部署

    简化集中部署方式减少了对服务器主机数量、网络划分、物理空间的要求。使用户能够以较低成本建设PKI基础设施。适合配套管理措施严格、网络规模小、证书用户和发证量少的应用系统使用。

    简化集中部署方式将数字证书认证服务器、注册审核服务器、密钥管理服务器及配套系统部署到同一台服务器主机上。

    发证方式为通过注册审核服务器管理终端集中发证。

    简化集中部署方式标准化程度高、使用维护方便,适合中小企业级用户的使用。

    图2 简化集中部署拓扑图

  • =============内容区4==============