金鑰管理中心(KMC):金鑰管理中心向CA服務提供相關金鑰服務,如金鑰生成、金鑰儲存、金鑰備份、金鑰恢復、金鑰託管和金鑰運算等。
CA認證機構 :CA認證機構是PKI公鑰基礎設施的核心,它主要完成生成/簽發證書、生成/簽發證書撤銷列表(CRL)、釋出證書和CRL到目錄伺服器、維護證書資料庫和審計日誌庫等功能。
RA註冊稽核機構:RA是數字證書的申請、稽核和註冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體,主要負責提供證書註冊、稽核以及發證功能。
釋出系統:釋出系統主要提供LDAP服務、OCSP服務和註冊服務。註冊服務為使用者提供線上註冊的功能;LDAP提供證書和CRL的目錄瀏覽服務;OCSP提供證書狀態線上查詢服務。
應用介面系統:應用介面系統為外界提供使用PKI安全服務的入口。應用介面系統一般採用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分
公鑰密碼證書管理(證書庫)
黑名單的釋出和管理(證書撤銷)
金鑰的備份和恢復
自動更新金鑰
自動管理歷史金鑰
分散式體系結構的建立
認證機構是PKI安全體系的核心,對於一個大型的分散式企業應用系統,需要根據應用系統的分佈情況和組織結構設立多級CA機構。CA信任體系描述了PKI安全體系的分散式結構。
證書籤發管理機構
CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理,簽發並管理下級CA證書。從安全形度出發,根CA一般採用離線工作方式。
根以下的其他各級CA負責本轄區的安全,為本轄區使用者和下級CA簽發證書,並管理所發證書。理論上CA體系的層數可以沒有限制的,考慮到整個體系的信任強度,在實際建設中,一般都採用兩級或三級CA結構。
RA註冊稽核機構設定
從廣義上講,RA是CA的一個組成部分,主要負責數字證書的申請、稽核和註冊。除了根CA以外,每一個CA機構都包括一個RA機構,負責本級CA的證書申請、稽核工作。
RA機構的設定可以根據企業行政管理機構來進行,RA的下級級構可以是RA分中心或業務受理點LRA。
受理點LRA與註冊機構RA共同組成證書申請、稽核、註冊中心的整體。LRA面向終端使用者,負責對使用者提交的申請資料進行錄入、稽核和證書製作。
KMC金鑰管理中心
一般來說,每一個CA中心都需要有一個KMC負責該CA區域內的金鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設定,既可以建立單獨的KMC,也可以採用鑲嵌式KMC,讓KMC模組直接執行在CA伺服器上。
釋出系統
釋出系統是PKI安全體系中的一個重要組成部分。它由用於釋出數字證書和CRL的證書發部系統、線上證書狀態查詢系統(OCSP)和線上註冊服務系統組成。證書和CRL採用標準的LDAP協議釋出到LDAP伺服器上,應用程式可以透過釋出系統驗證使用者證書的合法性。OCSP提供證書狀態的實時線上查詢功能。
金鑰管理中心(KMC):金鑰管理中心向CA服務提供相關金鑰服務,如金鑰生成、金鑰儲存、金鑰備份、金鑰恢復、金鑰託管和金鑰運算等。
CA認證機構 :CA認證機構是PKI公鑰基礎設施的核心,它主要完成生成/簽發證書、生成/簽發證書撤銷列表(CRL)、釋出證書和CRL到目錄伺服器、維護證書資料庫和審計日誌庫等功能。
RA註冊稽核機構:RA是數字證書的申請、稽核和註冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體,主要負責提供證書註冊、稽核以及發證功能。
釋出系統:釋出系統主要提供LDAP服務、OCSP服務和註冊服務。註冊服務為使用者提供線上註冊的功能;LDAP提供證書和CRL的目錄瀏覽服務;OCSP提供證書狀態線上查詢服務。
應用介面系統:應用介面系統為外界提供使用PKI安全服務的入口。應用介面系統一般採用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分
公鑰密碼證書管理(證書庫)
黑名單的釋出和管理(證書撤銷)
金鑰的備份和恢復
自動更新金鑰
自動管理歷史金鑰
分散式體系結構的建立
認證機構是PKI安全體系的核心,對於一個大型的分散式企業應用系統,需要根據應用系統的分佈情況和組織結構設立多級CA機構。CA信任體系描述了PKI安全體系的分散式結構。
證書籤發管理機構
CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理,簽發並管理下級CA證書。從安全形度出發,根CA一般採用離線工作方式。
根以下的其他各級CA負責本轄區的安全,為本轄區使用者和下級CA簽發證書,並管理所發證書。理論上CA體系的層數可以沒有限制的,考慮到整個體系的信任強度,在實際建設中,一般都採用兩級或三級CA結構。
RA註冊稽核機構設定
從廣義上講,RA是CA的一個組成部分,主要負責數字證書的申請、稽核和註冊。除了根CA以外,每一個CA機構都包括一個RA機構,負責本級CA的證書申請、稽核工作。
RA機構的設定可以根據企業行政管理機構來進行,RA的下級級構可以是RA分中心或業務受理點LRA。
受理點LRA與註冊機構RA共同組成證書申請、稽核、註冊中心的整體。LRA面向終端使用者,負責對使用者提交的申請資料進行錄入、稽核和證書製作。
KMC金鑰管理中心
一般來說,每一個CA中心都需要有一個KMC負責該CA區域內的金鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設定,既可以建立單獨的KMC,也可以採用鑲嵌式KMC,讓KMC模組直接執行在CA伺服器上。
釋出系統
釋出系統是PKI安全體系中的一個重要組成部分。它由用於釋出數字證書和CRL的證書發部系統、線上證書狀態查詢系統(OCSP)和線上註冊服務系統組成。證書和CRL採用標準的LDAP協議釋出到LDAP伺服器上,應用程式可以透過釋出系統驗證使用者證書的合法性。OCSP提供證書狀態的實時線上查詢功能。