一、系统功能
认证系统的核心是证书CRL签发系统,不但可给证书认证系统签发证书/CRL,还负责整个系统中主要的安全管理。其主要功能如下:
(1)证书生成与签发
数据库中读用户信息,由拟签发的证书类型申请加密密钥对,生成用户的签名与加密证书,把签发的证书发到目录服务器和数据库中。由系统配置与管理策略,不一样种类或用途的证书可用不一样的签名密钥。
(2)证书更新
系统应提供CA证书及用户证书的更新功能。
(3)CRL生成与签发
接收作废信息,验证作废信息中的签名,然后签发CRL,把签发后的CRL发布到数据库或目录服务器中。签发CRL的签名密钥可与签发证书的密钥相同或不同。
(4)安全审计
管理与操作人员的日志查询、统计及报表打印证书CRL生成与签发系统。
(5)安全管理
安全访问控制证书CRL生成与签发系统的登录,并管理和备价证书CRL数据库;设置管理员、操作员,并为他们申请和下载数字证书;配置不一样的密码设备及证书模板。
证书/CRL生成与签发系统应可并行处理。
二、模块组成
证书CRL签发系统由CRL生成与签发、安全管理、安全审计、数据库、目录服务器及密码设备等组成。
1.证书CRL生成与签发
主要功能有证书与CRL/ARL的生成与签发。
(1)证书的签发
结合收到的请求信息,从数据库中得到用户信息,对密钥管理系统申请加密密钥对,之后生成并签发签名与加密证书,两个证书的私钥通过证书管理系统下传给申请者,同时把证书发布到数据库和目录服务器中。在这个过程中,一定要确保私钥传递的安全。
(2)CRL的签发
先核实申请信息中的数字签名,之后签发CRL,并发到数据库或目录服务器的指定地方。
2.密码设备
密码设备完成签名及验证,并与其他系统通信过程中的运算,CA的签名密钥保存在设备中。上述工作时,须使所用的密钥不能通过明文形式被读出设备。
3.安全管理
安全管理主要有以下内容:
①配置证书模板:不一样的证书种类由不一样的证书模板确定,模板有相应种类证书的基本项和扩展项。
②配置CRL发布策略:可自动/人工发布选择、时间间隔。
③更新CA密钥。
④备份和归档证书。
⑤安全配置服务器,含服务器可接受的主机访问列表。
⑥给其他子系统定义管理员及给管理员签发数字证书。
⑦数据库系统的配置:数据源的选择、连接的用户名和口令设置。
4.安全审计
查证书CRL生成与签发系统中的审计日志,并统计与打印。
