目前现有ca系统可以完成基本的证书申请和签发流程,但没按规范设计,功能欠缺和模块划分不符合要求,现请根据《gm t 0034-2014 基于sm2密码算法的证书认证系统密码及其相关安全技术规范》重新划分功能模块,现有已做好的功能保留,对ca系统如下调整及补充:
1、 在现有ca系统基础上,将系统分成ra(证书注册机构)、ca(证书认证机构)、ocsp系统(待完善)和crl查询系统(缺少) ,其中ra包含用户注册管理系统(分本地和远程系统)、证书管理系统和安全管理系统,负责受理数字证书的申请、更新、恢复和注销等证书的全生命周期业务,ra接口(针对通过接口提交csr的情况)请求需要有ip授权控制;
(本地)用户注册管理系统部署在内网(可以和证书管理系统合在一起),由ra操作员负责用户证书/crl的申请、审核以及证书的制作,其主要功能如下:
-用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用于验证用户身份的信息,这些信息存放在用户注册管理系统的数据库中。用户注册管理系统excel文件格式批量导入的用户信息。
用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书csr提交给ca签发系统。
用户证书下载:签名密钥对由ukey生成,系统不保存用户签名私钥;系统默认生成双证书(缺少),即生成签名证书和加密证书,双证书都下载到ukey。
-安全审计:负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报
远程用户注册管理系统部署在外网,负责对外开放用户注册,用户可以自行提交csr申请到ra,由ra操作员审核后推送到ca签发,支持从ra数据库或从目录服务器下载证书进ukey里;
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核(提供人工审核和自动审核两种模式)、生成、签发、存储、发布、注销、归档等功能的管理控制系统;
ca由证书/crl生成与签发系统、证书/crl存储发布系统构成,负责对ra提交的csr和crl进行签发和生成证书/crl(提供人工审核和自动审核两种模式,并支持多级ca签发),系统默认生成双证书,其中加密证书的密钥对暂时由ca应用软件生成,证书默认保存在数据库并同步返回给ra;存储发布系统负责证书/crl文件的备份和还原(缺少)和打包下载,并支持将证书/crl文件发布至主目录