数字证书认证系统

1) 产品概述

数字证书认证系统是以PKI技术为基础建立的，负责发放和管理数字证书的信息安全系统。数字证书认证系统严格遵循国家密码管理局的数字证书相关规范，提供数字证书的申请、审核、签发、注销、更新、查询等功能。

信安通数字证书认证系统包括数字证书认证服务器、注册审核服务器、密钥管理服务器、证书/OCSP查询服务器等基础模块，协作构成的完整的、高效的认证体系架构，是一套成熟的、可靠的数字证书基础设施产品。

信安通数字证书认证系统在设计上符合国际通用标准，同时严格遵循的各项规定，是一套开放式的系统，支持多级CA的分布式部署。核心架构采用Java语言开发，具有良好的平台兼容性。系统设计灵活、可扩展性强。

2) 资质证书

3) 功能特点

（1）数字证书认证服务器

证书认证服务器是数字认证系统的核心，具体功能介绍如下：

• 证书管理

证书管理主要包括证书的申请，查看、下载，更新，冻结，解冻、归档、注销等操作。

• 模板管理

内置有十几种标准证书模板及标准证书扩展域，能够满足大多数的证书签发需求。同时支持自定义证书模板和自定义扩展域。

• 权限管理

管理员采用基于数字证书的身份验证机制，管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。

• 机构管理

机构指的是注册审核服务器。一个证书认证服务器可对应多个注册审核服务器，在证书认证服务器的管理端实现对机构的管理。

• 证书归档和证书统计

证书认证服务器支持对已过期长期不用的证书进行归档和统计。

（2）注册审核服务器

注册审核服务器是证书认证服务器的证书发放、管理等业务的延伸，具体功能介绍如下：

• 证书管理

主要包括证书的申请，审核、制作、下载、查看、更新、冻结，解冻、归档、注销等操作。

• 用户管理

在注册审核服务器设置了三种类型的用户，分别是个人用户、企业用户和机器用户。系统提供对三种用户的管理。

• DN规则管理

系统提供了证书规则定义和管理功能，通过用户信息或企业信息中的某些特定项来自动生成证书主题信息，免去用户掌握证书主题规则的专业性，降低用户使用系统的难度。

• 模板管理

注册审核服务器中的模板和使用证书认证服务器同步过来的模版，进行统一配置审核策略，即注册审核服务器中的所有用户根据模板的不同采用不同的审核策略，并且不同的业务采取不同的审核策略。

（3）密钥管理服务器

密钥管理服务器为证书签发系统提供用户加密密钥的生成及管理服务，具体功能介绍如下：

• 密钥管理

密钥管理包括密钥产生，在用密钥的查询、统计与备份、密钥归档。

• 机构管理

密钥管理服务器对需要进行密钥申请的机构进行统一管理，可以对多个机构提供密钥管理服务，包括机构添加、查看、任命、参数设置、冻结、解冻、注销。

• 权限管理

管理员采用基于数字证书的身份验证机制，管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理，管理员间权限分离，某一管理员只管理某一部分功能并受其他管理员监督。

• 密钥恢复和司法取证

可以从密钥管理服务器的数据库中提取出需要恢复的密钥（私钥）并进行保存。司法取证员可在密钥管理服务器进行密钥恢复操作。

（4）证书/OCSP查询服务器

系统提供对证书及证书状态查询的支持，用户可以通过标准的证书状态查询接口来获取证书有效性的检查结果，任何证书的作废应能够即时反应到在线证书查询中。

4) 产品方案

CA数字证书系统的典型部署方式需要为数字证书认证服务器、注册审核服务器、密钥管理服务器、以及这三个服务配置各自的数据库主机和加密机。按照核心区、管理区和服务区划分网段和物理空间，所有服务器主机部署在同一机房中。典型部署方式逻辑严谨、安全性高、适用性强，适合行业级及大中型组织使用。此外，CA数字证书系统还可根据用户的组织架构特点和分级管理需要，进行层次化分级部署。

5) 软件系统截图

6) 主要技术指标