数字证书是所有实体在网上交流信息与交易活动的身份证明。为符合这个要求,需创建一个涉及电子商务各方均信任的机构,确保数学证书的真实可靠。此机构即是数字证书认证中心(以下简称CA),它是产生、发放且管理全部涉及网上交易的实体的数字证书。
CA的主要职责有以下内容。
(1)证书颁发。申请者在CA的注册机构进行注册,申请证书。CA对申请者进审核,审核成功就生成证书,颁发给申请者。证书的申请可用在线申请与亲自到BA申请两种方式。证书的颁发也有两种方式:一种是在线直接从CA下载;另一种是CA把证书制做成介质后,由申请者带走。
(2)证书更新。证书的更新含更换与延期两种情况。证书的更换事实上是重新颁发证书。所以证书的更换过程与申请流程大致情况一致。而证书的延期仅是延长证书的有效期,它的签名与加密信息的公私密钥无改变。
(3)证书废除。证书持有者可对CA申请进行废除证书。CA认证核实成功,就能废除证书,告知相关组织及个人,并写进黑名单CRL。
(4)证书和CRL的公布。CA通过LDAP服务器保护用户证书与黑名单。它对用户给出目录浏览服务,把新签发或废除的证书加至LDAP服务器上。如此用户访问LDAP服务器就可取得他人的数字证书或访问黑名单。
(5)证书状态的在线查询。一般CRL签发是一天一次,CRL的状态与当前证书状态存在一定的延后。OCSP服务器返回证书的当前状态且对这个结果进行签名。在线证书状态查询相对CRL更具时效性。
(6)证书认证。网上交易两方身份认证时,互相给出自己的证书与数字签名,由CA认证证书的有效性与真实性。在实际操作中,一个CA非常不易取得全部用户的信任且接受它发行的公钥用户的证书,这就需多个CA。在多个CA系统里,令由指定CA发证书的全部用户构成一个域,如果一个持有由指定CA发证的公钥用户要和由另一个CA发放公钥证书的用户完成安全通信,则得处理跨域的公钥安全认证及传送,建立一个可靠的证书链或通路。高层CA叫RCA,它给低层CA发公钥证书。
(7)制定政策。CA的政策越公开,信息发布则越及时。
(8)CA的政策指CA一定得承担起信任它的所有方的责任。