CA证书管理系统 技术白皮书.doc

1、北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263CA 证书管理系统 技术白皮书第 1 章 前言 随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。Internet 给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。 目前，保障电子商务安全比较成熟的技术方案是采用 PKI 认证框架

2、体系， 通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决公钥体系中公钥的合法性认证问题。 PKI/CA 标准与协议的开发迄今已有 15 年的历史，目前的 PKI/CA 已完全可以向企业网络提供有效的安全保障。PKI/CA 是一个以被广泛认可的一种成熟的安全整体解决方案。 第 2 章 产品介绍 2.1 产品概述 SSPCA 是企业级的 CA 系统，相对公共 CA 而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。企业级 CA 的用户之间的信任关系不是依赖于 CA 的可信性，而

3、是依赖于技术以外的行政、上下级等关系。CA 系统的主要目的是为这些用户在网络上进行业务活动时，提供更安全的保障。 所以，我们认为企业级 CA 与公共 CA 的最大不同点是如何与业务系统有机地结合，保证业务系统即安全又方便易用。 SSPCA 是一个与安全服务平台结合的企业 CA。如果需要独立的 CA 系统，建议购买 CA。 由于不同机构、企业的业务应用的多样性，导致企业证书管理系统需要定制或客户化以满足客户的需求。企业级证书管理系统需要很好的结构和扩展性，可以方便地构建和实施不同需求的证书管理系统系统。这就是 SSPCA 遵循的产品策略。 SSPCA 有一个稳定的核心，一个良好的结构。提供多种接

4、口，可以方便地扩展规模和功能。包括证书申请方式（手工、批量、在线、离线） 、增加各种证书保存介质（IC 卡、USB key、软盘、北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263文件） 、选择证书发布方式（人工、WEB、目录服务器、邮件） 、支持多种密钥生成方式（CA 生成、客户生成）等。 2.2 证书管理系统体系 SSPCA 证书管理系统可以做为独立的 CA 系统运行，也可以做为其它 CA 系统的子 CA 运行。 如果做为独立的 CA 系统，它有自己的根证书，并可以建立下级子 CA。如果做为其

5、它 CA 系统的子 CA，则需要由其它 CA 为其签发一个 CA 证书。 通过操作终端申请、注销和管理证书。 - 6 - 其它 CA CA 操作终端操作终端 2.3 证书管理系统组成 SSPCA 系统由 CA 服务器、目录服务器、数据库服务器、硬件密码机、操作终端组成。 CA 服务器负责证书的申请、签发、作废和管理。数据库服务器存放 CA 的数据、请求数据、证书和黑名单数据。操作终端提供证书申请的管理和日常操作，目录服务器用于发布证书和黑名单。 CA 服务器数据库服务器加密机/加密卡操作终端小型的企业证书管理系统CA 服务器数据库服务器加密机/加密卡操作终端目录服务器防火墙防火墙路由器互联网内

6、部网典型的企业证书管理系统 CA 服务器 CA 服务器负责接收证书申请、证书作废、证书恢复等请求，进行处理，并回复相应的处理信息。 数据库服务器 存放所有的用户信息和证书信息。包括用户状态信息、证书信息、黑名单信息、CA 和操作员信息以及日志信息等。 目录服务器 接收 CA 服务器的证书和 CRL 信息，利用 LDAP 目录服务器发布证书和CRL。 操作终端 北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263操作员通过管理终端进行证书的申请、作废、查询、统计、设置等等工作。 硬件密码机/卡 保存

7、CA 的根密钥，对证书进行签名。 2.4 证书管理系统结构 SSPCA 证书管理系统主要包括 2 部分： CA 模块 HW 接口加密机加密卡软件 DBP10 接口 P7 导出 P12 导出通讯接口 P12 模块 APP APP 文件方式批量发证目录接口 LDAP IC 卡 USB key 文件密钥备份 CA P12 DB 1. CA 服务模块，即 CA 服务器，独立运行。 2. P12 模块，即操作终端，可以运行在 CA 服务器上，也可以单独运行。 SSPCA 为二次开发提供多个接口： 1. HW 接口：密码设备接口 2. 目录服务器接口：可以支持各种 LDAP 服务器 3. P10 请求生成

8、证书接口：将不同方式生成的 P10 证书请求发给 CA 服务器 4. 导出 P7 证书接口：导出 P7 格式的证书。 5. 导出 P12 证书接口：导出 P12 格式的证书，包含有私钥 6. 用户密钥备份接口：可以备份系统生成的密钥 7. 文件方式批量发证接口：支持批量发证方式。 SSPCA 的内部接口用于系统内部： 1. 数据库接口：支持多种数据库 2. CA 与 P12 之间的通讯接口：支持多操作终端和远程操作终端。 2.5 系统主要功能 证书系统功能分为包括证书管理系统初始化、证书服务功能、证书管理功能、证书发布功能。 北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技

9、有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263 系统初始化 生成自签根证书、配置证书中心安全策略等 证书服务功能 签发证书、查询证书、注销证书、签发黑名单、输出证书、输出黑名单、输出根证书等 证书管理功能 生成证书申请、输出证书、发布发布、证书申请查询、安装根证书、数据备份等 证书发布功能 将证书写入 IC 卡、USB key、文件等。将证书发布到目录服务器。 2.6 主要流程 不同的 CA 系统，其操作流程也不完全相同，本着服务业务、方便使用、易于管理、确保安全的原则，设计各自的流程。不同的证书类型，流程也可能不同。 - 10 - 下面是证书申请和证书作废两

10、个主要流程。 证书申请流程 1、证书申请 a) 证书申请方式一：人工录入，由操作员输入用户信息，然后生成证书申请。 b) 证书申请方式二：申请文件，需要签发证书的用户自己生成 PKCS#10 格式的证书申请，由操作员将此证书申请文件导入本系统。 c) 证书申请方式三：批量自动，从目录服务器或文件中读取制定用户信息，生成证书申请。 d) 证书申请方式死：浏览器申请，客户自己从浏览器输入用户信息，生成证书申请。 北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-670802632、证书申请提交给 CA 服务器 3、证

11、书发布到目录服务器、输出到文件、或 IC 卡等其它介质 4、用户通过浏览器下载证书、或人工取得证书介质 5、安装证书，使用证书 证书注销申请流程 1、操作员在已有的证书中选择需要注销的用户，根据此信息生成证书注销申请 2、由 CA 服务器签发证书注销申请 3、将证书注销列表（黑名单）输出到目录服务器或文件。 4、用户下载使用 2.7 产品特性 证书标准 符合 X.509 V3 标准。 证书类型 证书管理系统自用的证书： 自签的 CA 证书 操作员证书 用户证书： SSL 客户证书（支持IE，Netscape 等）. SSL 服务器证书（支持IIS，Domino，Appache，Enterpri

12、s 等） S/MIME 证书（支持 Outlook 等） 代码签名证书 证书格式 支持 PKCS7、PKCS12 证书格式，支持 PKCS10 证书申请。支持DER、CER、PEM 证书编码。 支持硬件 北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263支持硬件加密机和加密卡。根 RSA 密钥长度支持 1024 和 2048 位。 支持算法类型 RSA 算法、DES 算法、Triple-DES 算法、IDEA 算法、SDBI 算法。 证书载体 文件、IC 卡、USB Key。 证书发布方式 离线

13、客户证书密钥长度 RSA 密钥长度支持 512、1024、2048 位 密钥生成方式 支持客户生成 RSA 密钥和代用户生成 RSA 密钥 证书申请方式 - 12 - 支持单个生成证书和批量生成证书 协议类型 支持 Ldap 协议、SSL 安全套接字协议。支持 Netscape 目录服务器 数据库类型支持 ODBC 的数据库管理系统。 SQL Server。 运行环境 CA 服务器：Window 2000 操作终端：Window NT、Window 2000 2.8 适用客户 北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系

14、电话：010-67080263适用于金融、证券、保险、税务、以及其它企业和政府机关建立自己的数字证书管理系统，为内部员工、客户、合作伙伴发放数字证书，证书数量在 10万份以下。具体应用如下： （1）为企业内部 OA 系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储和传递、用于各种办公应用系统中的身份认证和访问控制。 （2）为银行、证券等金融机构的业务系统的管理和操作人员发放证书，保证业务系统的身份认证、数据安全、传输安全和防抵赖。 （3）为银行、证券等金融机构内部 OA 系统的用户发放数字证书；该证书可用于生成带加密和签名的安全电子邮件、用于公文的安全存储

15、和传递、用于各种办公应用系统中的身份认证和访问控制。 （4）为网上银行、网上证券的用户发放数字证书，保证网上交易的安全。 （5）为企业与其供应链的上下级开展 BtoB 电子商务发放用于身份认证的数字证书。 （6） 为税务部门开展电子报税业务提供证书管理功能，为纳税企业和个人发放数字证书，保证网上报税业务的安全。 2.9 产品卖点 （1）使用方便，易于管理，特别适用于用户群较为封闭、信任关系比较可靠的企业环境。 数字证书是各实体在网上进行信息交流和商务交易活动的身份证明，身份认证的可靠性取决于数字证书的可靠性；数字证书是由 CA 签发的，在一个具有开放用户群的环境中，申请证书的用户和 CA 之间

16、没有一个现成的信任关系，为了保证证书的可靠性，在 CA 给用户发放数字证书之前要经过一个比较复杂的认证过程，所以证书的申请和发放过程较为复杂；而在一个企业（或类似企业）的环境中，用户群较为封闭，企业中的证书用户与 CA（企业）之间存在一种信任关系，因此可以简化证书的申请和发放过程，这样，既可以通过使用数字证北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263书提高系统的安全性，也不会给企业的员工和 CA 的管理者增加更多的负担，方便企业 PKI 安全基础设施的实施。 SSPCA 能够很好地适应企业的

17、这种需求 （2）良好的扩充性和开发接口 应用软件可以进行必要的开发，将证书管理系统和业务系统有机结合，方便适用和管理。 （3）用户数字证书的取得通常可以有两种方式，一种是通过公共的 CA 中心或其他单位的 CA 中心取得证书，另一种是通过自建的 CA 系统取得证书。对于企业级的用户，我们认为自建 CA 系统有如下优势： 在管理方面： 证书内容 - 自己建设证书管理系统，可以根据业务需要，定义证书的内容，灵活方便。申请流程 - 自己建设证书管理系统，可以根据业务需要，定义证书申请流程、审查标准和需要的材料。不同的证书，有不同的流程和标准。否则，必须符合其他认证中心的要求和流程。 - 14 - 证

18、书介质 - 自己建设证书管理系统，可以根据需要确定不同证书的发放介质：软盘、IC 卡或网上发布。 应用开发的兼容性 - 开发应用系统时，可以只考虑业务，而不必考虑证书的限制。因为自己建设的证书系统可以调整。业务发展的适应性 - 自己建设证书管理系统，随着业务的发展，可以调整证书管理系统以适应发展。使用其他 CA 中心，可能限制业务的发展。 在法律方面： 如果证书是其他 CA 中心发放的，法律问题涉及到三方。而国家目前还没有相应的法律。可能导致比较多的纠纷。 在效益方面： 使用第三方的证书，每份证书必须向 CA 中心交费。如果企业需要 10000 份数字证书，假设每年每个证书 100 元，一年就

19、 100 万。每年需要交纳证书费用。而自己建设证书管理系统，成本是一次性的。以后，只有运行费。证书数越多，自己建设证书管理系统的成本越低。 因此，我们建议企业建设自己的证书管理系统。 2.10 典型应用 厦门地税网上报税系统项目 在网上开展报税业务，为网上纳税个人和企业北京安软天地科技有限公司 电子签名中间件技术白皮书北京安软天地科技有限公司-专业的应用安全服务提供商公司网站： 联系电话：010-67080263发放数字证书，实现纳税人的身份认证、报税信息的机密性、完整性、不可否认性。 农发行电子联行系统安全项目 本项目的安全方案是一个基于数字证书的、采用 PKI 技术进行身份认证和信息加密的系统安全方案。首先，在总行中心建立数字证书管理系统，负责为营业所操作员、二级运维中心的服务器和总行中心的服务器发放数字证书；然后在总行中心、二级运维中心、营业所分别配置各自的安全模块，这些安全模块负责完成身份认证、信息加密、数字签名等功能。 - 15 - 中国移动一级 BOSS 安全项目 采用数字证书保证 BOSS 系统重要数据传输的安全。