回覆列表
  • 1 # 使用者1042898638258

    金鑰管理中心(KMC):金鑰管理中心向CA服務提供相關金鑰服務,如金鑰生成、金鑰儲存、金鑰備份、金鑰恢復、金鑰託管和金鑰運算等。

      CA認證機構 :CA認證機構是PKI公鑰基礎設施的核心,它主要完成生成/簽發證書、生成/簽發證書撤銷列表(CRL)、釋出證書和CRL到目錄伺服器、維護證書資料庫和審計日誌庫等功能。

      RA註冊稽核機構:RA是數字證書的申請、稽核和註冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體,主要負責提供證書註冊、稽核以及發證功能。

      釋出系統:釋出系統主要提供LDAP服務、OCSP服務和註冊服務。註冊服務為使用者提供線上註冊的功能;LDAP提供證書和CRL的目錄瀏覽服務;OCSP提供證書狀態線上查詢服務。

      應用介面系統:應用介面系統為外界提供使用PKI安全服務的入口。應用介面系統一般採用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分

      公鑰密碼證書管理(證書庫)

      黑名單的釋出和管理(證書撤銷)

      金鑰的備份和恢復

      自動更新金鑰

      自動管理歷史金鑰

      分散式體系結構的建立

      認證機構是PKI安全體系的核心,對於一個大型的分散式企業應用系統,需要根據應用系統的分佈情況和組織結構設立多級CA機構。CA信任體系描述了PKI安全體系的分散式結構。

      證書籤發管理機構

      CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理,簽發並管理下級CA證書。從安全形度出發,根CA一般採用離線工作方式。

    根以下的其他各級CA負責本轄區的安全,為本轄區使用者和下級CA簽發證書,並管理所發證書。理論上CA體系的層數可以沒有限制的,考慮到整個體系的信任強度,在實際建設中,一般都採用兩級或三級CA結構。

      RA註冊稽核機構設定

      從廣義上講,RA是CA的一個組成部分,主要負責數字證書的申請、稽核和註冊。除了根CA以外,每一個CA機構都包括一個RA機構,負責本級CA的證書申請、稽核工作。

    RA機構的設定可以根據企業行政管理機構來進行,RA的下級級構可以是RA分中心或業務受理點LRA。

      受理點LRA與註冊機構RA共同組成證書申請、稽核、註冊中心的整體。LRA面向終端使用者,負責對使用者提交的申請資料進行錄入、稽核和證書製作。

      KMC金鑰管理中心

      一般來說,每一個CA中心都需要有一個KMC負責該CA區域內的金鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設定,既可以建立單獨的KMC,也可以採用鑲嵌式KMC,讓KMC模組直接執行在CA伺服器上。

      釋出系統

      釋出系統是PKI安全體系中的一個重要組成部分。它由用於釋出數字證書和CRL的證書發部系統、線上證書狀態查詢系統(OCSP)和線上註冊服務系統組成。證書和CRL採用標準的LDAP協議釋出到LDAP伺服器上,應用程式可以透過釋出系統驗證使用者證書的合法性。OCSP提供證書狀態的實時線上查詢功能。

  • 中秋節和大豐收的關聯?
  • 怎樣從汽車油箱抽油?