時代億信證書管理系統功能簡介

shidaiyixin發表於2014-05-21
1.1 認證中心(CAServer)
    CAServer是ETCA數字證書管理系統的核心,負責所有證書的簽發、登出以及證書登出列表的簽發等管理功能。

證書管理
    在CAServer系統中,只有擁有證書管理角色的管理員才能進行證書管理的操作。證書管理主要包括證書的申請、下載、釋出、申請並下載、更新、更新並下載、凍結、解凍、授權碼更新、證書查詢、證書實體查詢及證書撤銷列表的釋出等操作。

證書申請
    系統提供基於WEB的申請方式,簡單易用,幫助使用者方便、安全、快捷的進行證書申請。使用者可以根據自己的需要選擇相應的證書模板進行證書申請操作,如果申請成功,系統將返回下載證書所需的憑證。

證書籤發
    對於透過稽核的證書申請,CA Server可以為其簽發證書。簽發的證書符合相關標準,並且支援擴充套件。簽發時使用的系統金鑰得到高強度的安全保護,系統支援硬體主機加密伺服器及PKCS#11介面。

證書釋出
    對於簽發好的證書,系統進行自動釋出,釋出方式可以為檔案方式或者目錄服務方式。系統支援所有符合LDAP V3標準的目錄服務,支援主/從目錄伺服器機制。

證書下載
    證書申請透過稽核之後,使用者可以透過下載憑證安全的下載證書。系統提供基於WEB的下載方式,支援多種加密演算法和金鑰長度,支援檔案、智慧卡、USB-KEY等多種儲存介質。

證書申請並下載
    申請並下載證書是為了方便使用者,將申請證書和下載證書兩項操作一步完成的功能。

證書更新
    系統提供證書更新功能,使用者可以根據需要對正在使用中的證書進行有效期的更改,更新成功後,使用者可以下載新的證書。

證書更新並下載
    證書更新並下載是為了方便使用者,將證書更新和下載更新後的證書兩項操作一步完成的功能。

證書查詢
    系統提供證書查詢功能,使用者可以透過查詢條件查詢出符合條件的證書資訊,支援精確查詢。

證書下載憑證更新
    對一些申請成功但是沒有下載的證書,CA Server可以為使用者重新生成下載憑證,使用者使用新的下載憑證進行證書下載。

證書登出
    使用者可以對一些不再使用的證書進行登出操作,登出後的證書不可恢復。
系統對於有下列情況之一的使用者進行證書登出:
金鑰洩密
CA洩密
從屬關係變更
證書被取代
操作終止

證書登出列表釋出
    CA Server可以根據釋出策略定期簽發標準格式的證書登出列表,釋出方式可以為檔案方式或者目錄服務方式,釋出週期可以由管理員靈活定製。
證書登出列表的釋出採用分佈點策略,保證證書登出列表的大小在指定的範圍內,方便使用者查詢和下載。

證書凍結
    使用者可以對一些短期內不會使用的證書進行凍結操作,在凍結期間內證書被限制不可使用。被凍結的證書可以透過解凍操作恢復使用。

證書解凍
    證書解凍操作是相對於證書凍結操作的,此操作將凍結的證書解凍,使得證書可以重新使用。

證書實體查詢
    系統支援證書實體查詢功能,使用者可以透過查詢條件可以查詢出符合條件的證書,並可將證書(公鑰證書)儲存到本地。

模板管理
    系統引入了證書模板概念,極大的增強了簽發不同型別證書的靈活性。系統內建有十幾種標準證書模板及標準證書擴充套件域,能夠滿足大多數的證書籤發需求。系統同時支援自定義證書模板和自定義擴充套件域,使用者可以靈活定製各種證書模板,從而簽發出各種滿足不同需求的數字證書(如程式碼簽名證書、智慧卡登入證書等)。

證書模板管理
    證書模板用於定義證書的類別,每一個證書模板定義這一類證書的共同特點。包括證書的有效期限制、金鑰型別和金鑰長度、是否需要釋出及釋出的方式以及證書中該包含的擴充套件域及其擴充套件域的值等資訊。

可以自定義各種型別的證書模板,並對其加以管理。

瀏覽模板
    列出當前系統中定義的所有證書模板的詳細資訊。

新增模板
    為系統增加一個證書模板的定義。

修改模板
    修改系統中已經存在的一個證書模板。

刪除模板
    刪除一個已經定義好的但是還沒有被使用的證書模板。

登出模板
    登出已經被使用過的一個證書模板,該證書模板以後將不能再使用。

自定義擴充套件域管理
    使用者可以根據自己的實際需要自定義證書擴充套件域,並應用於證書模板之中。

瀏覽自定義擴充套件
    列出當前系統中定義的所有自定義擴充套件域,並可以檢視詳細資訊。

新增自定義擴充套件
    為系統增加一個自定義擴充套件域的定義。

修改自定義擴充套件
    修改已經存在的一個自定義擴充套件域。

刪除自定義擴充套件
    刪除一個已經定義好的但是還沒有被某個證書模板使用的自定義擴充套件域。

登出自定義擴充套件
    登出已經被使用過的一個自定義擴充套件域,以後建立證書模板的時候將不再使用該擴充套件。

許可權管理
    在CA Server系統中,對管理員採用基於數字證書的身份驗證機制,管理員的管理許可權與其證書進行繫結。系統採用分散式的基於角色的許可權管理,管理員間許可權分離,某一管理員只管理某一部分功能並受其他管理員監督。

    每個管理員的許可權資訊都包含兩部分內容,一部分是管理角色許可權,指定管理員可以進行哪些操作,在CA Server中,系統包含的管理角色有:證書管理角色、模板管理角色、許可權管理角色和審計管理角色。一個管理員可以被授予一個或多個管理角色,以分權的形式對整個系統進行有效管理。另一部分是管理範圍許可權,指定管理員可以對哪些證書進行管理。
只有具有許可權管理角色的管理員才能進行許可權管理的操作,才能有許可權進行下面三個(授權管理員許可權、修改管理員許可權和查詢管理員許可權)操作。

授權管理員
    只有未被授權的管理員證書才可以進行“授權管理員許可權”操作。授權包含管理角色許可權和管理範圍許可權兩方面的授權。當一個管理員證書進行“授權管理員許可權”操作成功後,就會成為系統的正式管理員,他的許可權可以透過“修改管理員許可權”操作進行修改。

修改管理員
    只有被成功授權的管理員才能進行“修改管理員許可權”操作。修改管理員許可權時,可以修改管理員的管理角色許可權,也可以修改管理員的管理範圍許可權。

刪除管理員
    進行“查詢管理員許可權”操作查到的管理員包括已經成功授權的管理員和未被授權的管理員。

審計管理
    只有具有審計管理角色的管理員才能進行審計管理操作,審計管理包括查詢業務日誌和統計證書。

查詢業務日誌
    系統支援查詢業務日誌功能,提供豐富的查詢條件與簡單易用的查詢介面,支援多條件複合查詢,查詢結果支援按業務操作時間排序。

證書統計
    系統支援證書統計功能,提供豐富的統計條件與簡單易用的統計介面,支援多條件複合統計。

資料歸檔

證書歸檔
    系統支援對已過期長期不用的證書進行歸檔,以減輕系統負荷。

日誌歸檔
    系統支援對日誌進行歸檔,以減輕系統負荷。

1.2 註冊中心(RAServer)
    RA Server是證書註冊審批系統,是CA Server的證書發放、管理等業務的延伸。它負責所有證書申請者的資訊錄入、稽核等工作,同時對發放的證書進行管理。

證書管理
證書申請
    系統提供基於WEB的申請方式,簡單易用,幫助使用者方便、安全、快捷的進行證書申請。使用者可以根據自己的需要選擇相應的證書模板進行證書申請操作,如果申請透過稽核,系統將返回下載證書所需的憑證(參考號和授權碼)。

證書凍結
    使用者可以對一些短期內不會使用的證書進行凍結操作,在凍結期間內證書被限制不可使用。被凍結的證書可以透過解凍操作恢復使用。

證書解凍
    證書解凍操作是相對於證書凍結操作的,此操作將凍結的證書解凍,使得證書可以重新使用。

證書更新
    系統提供證書更新功能,使用者可以根據需要遠端對正在使用中的證書進行有效期的更改,更新成功後,使用者可以下載新的證書。

證書登出
    使用者可以對一些不再使用的證書進行登出操作,登出後的證書不可恢復。
系統對於有下列情況之一的使用者進行證書登出:

金鑰洩密
CA洩密
從屬關係變更
證書被取代
操作終止
證書下載憑證(授權碼)更新

對一些申請成功但是沒有下載的證書,RA Server可以為使用者重新生成下載憑證(授權碼),使用者使用新的下載憑證進行證書下載。

證書制證
    證書申請透過稽核之後,使用者可以透過下載憑證安全的下載證書。系統提供基於WEB的下載方式,支援多種加密演算法和金鑰長度,支援檔案、智慧卡、USB-KEY等多種儲存介質。

證書查詢
    系統提供證書資訊查詢功能,使用者可以透過查詢條件查詢出符合條件的證書資訊,支援精確查詢。
系統還提供申請資訊查詢功能,使用者可以透過查詢條件查詢出符合條件的申請資訊,支援精確查詢。

使用者資訊維護
    系統提供按照使用者自定義的格式產生使用者資訊,並可以對使用者資訊進行新增、刪除、修改等維護方式。

企業資訊維護
    系統提供按照使用者自定義的格式產生企業資訊,並可以對企業資訊進行新增、刪除、修改等維護方式。

證書稽核
證書申請稽核
    使用者提交的證書申請只有經過稽核之後才會被簽發,管理員根據系統指定的稽核策略對錄入的證書申請資訊的有效性進行確認,稽核透過後向CA Server提出證書申請的請求並返回下載證書所需要的憑證。

證書凍結稽核
    管理員對使用者提出的證書凍結請求進行確認,稽核透過後方可進行證書凍結操作。

證書解凍稽核
    管理員對使用者提出的證書解凍請求進行確認,稽核透過後方可進行證書解凍操作。

證書更新稽核
    管理員對使用者提出的證書更新申請進行確認,稽核透過後方可進行證書更新操作。

證書登出稽核
    管理員對使用者提出的證書登出請求進行確認,稽核透過後方可進行證書登出操作。

證書下載憑證(授權碼)更新稽核
    管理員對使用者提出的下載憑證更新申請進行確認,稽核透過後方可進行下載憑證更新操作。

許可權管理
    在RA Server系統中,角色可以根據客戶的需要自己訂製。透過基於角色的使用者管理,可以實現更加靈活的許可權管理。
角色的建立是透過分配一組指定的許可權點完成的,許可權點是完成系統功能的一組操作。只有對許可權點具有一定操作許可權的使用者,才能進行RA的各種證書業務操作。
對於RA中的每個證書業務員都指定了相應的業務型別(模板型別)。

系統管理
模板管理
    RA Server定時與CA Server模板保持同步,下載CA Server中模板資訊,也可以透過手動方式進行與CA Server的模板同步操作。
對RA Server中的模板統一配置稽核策略,即RA Server中的所有使用者根據模板的不同採用不同的稽核策略,並且不同的業務採取不同的稽核策略。

更新CRL資訊
    RA Server定時與CA Server釋出的CRL資訊保持同步,也可以透過手動方式進行與CA Server的CRL資訊同步操作。
獲取的CRL資訊,可以在RA端提供給終端使用者。

主題規則管理
    系統支援定義一些主題規則,透過使用者資訊或企業資訊中的某些特定項來自動產生使用者所申請的證書主題,免去使用者掌握證書主題規則的專業性,降低使用者使用系統的難度。

審計管理
    只有審計管理員才能進行審計管理操作,審計管理包括查詢業務日誌和歸檔日誌。

查詢業務日誌
    系統支援查詢業務日誌功能,提供豐富的查詢條件與簡單易用的查詢介面,支援多條件複合查詢,查詢結果支援按業務操作時間排序。

歸檔業務日誌
    系統支援對於記錄的業務日誌進行歸檔的功能,可以按時間段對日誌進行手動或自動的歸檔操作。歸檔後的日誌在“查詢業務日誌”功能中無法再被查詢到。

證書統計
    只有審計管理員才能進行證書統計操作。
系統支援證書統計功能,提供豐富的統計條件與簡單易用的統計介面,包括證書籤髮量統計、證書月簽發量統計和證書過期統計多種統計功能。

批次申請和制證
    系統支援批次進行證書申請和制證的功能,以包含使用者證書資訊的XML格式的檔案作為批次申請檔案,進行批次證書申請,批次證書申請成功後可以對其進行批次制證的操作。

1.3 金鑰管理中心(KMServer)
    KM Server是金鑰管理系統,為CA Server提供使用者加密金鑰的生成及管理服務。系統支援符合PKCS#11標準的加密裝置,支援高強度的金鑰及加密演算法。透過PKCS#11介面直接呼叫硬體密碼服務,金鑰不出主機加密伺服器,擁有高強度的安全性和保密性。

金鑰管理
    在KM Server系統中,只有擁有金鑰管理角色的管理員才能進行金鑰管理的操作。金鑰管理包括金鑰產生,在用金鑰的查詢、統計與備份、金鑰歸檔、金鑰歸檔查詢。

金鑰產生
    金鑰產生分為定時預產生金鑰和即時產生金鑰兩種方式。

定時預產生金鑰
    管理員可以透過此功能管理金鑰產生計劃,用於在系統執行不繁忙的時候預先產生金鑰以作備用,在CA Server申請金鑰的時候可以提高KM Server的工作效率。計劃根據執行時間和在資料庫中儲存的最大數量來決定是否每天執行。管理員可以執行新增、刪除、停止計劃的操作。

即時產生金鑰
    管理員可以透過即時產生金鑰功能隨時產生所需要的一定數量的金鑰對。管理員可以設定需要產生的金鑰的型別和長度,以及產生數量和計劃執行時間等引數。

在用金鑰查詢
    CA Server向KM Server申請金鑰併為使用者簽發證書成功後,申請的金鑰對儲存在KM Server的在用金鑰庫中。設定輸入某些查詢條件可以查詢出符合條件的在用金鑰的詳細資訊。

在用金鑰統計
    對系統中所有的在用金鑰進行統計,根據統計條件,統計在用金鑰的數量。

備用金鑰統計
    對系統中所有的備用金鑰進行統計,根據統計條件,統計備用金鑰的數量。

歸檔金鑰查詢
    查詢由CA發起金鑰歸檔後,KM進行手動金鑰歸後的金鑰資訊。

金鑰歸檔
    CA發起金鑰歸檔訊息在KM端將待歸檔金鑰對標註為待歸檔狀態,而後由KM端進行手工歸檔。

CA機構管理
    KM Server可以對多個CA機構提供金鑰管理服務,並可以對多個CA機構進行統一的管理。CA機構管理分為CA機構註冊、CA機構查詢、CA機構凍結、CA機構解凍、CA機構更新五部分。只有具有CA機構管理角色的管理員才能進行CA機構管理的操作。

CA機構註冊
    CA Server向KM Server申請金鑰前必須先在KM Server中註冊並得到KM Server的授權,否則CA Server無權向KM Server申請金鑰。

CA機構查詢
    管理員可以查詢到當前KM Server已經註冊的全部CA機構的詳細資訊。

CA機構凍結
    管理員可以根據需要將某些已經在KM Server中註冊的CA機構進行凍結,凍結後的CA機構將不能再向KM Server申請金鑰,直至被解凍為止。

CA機構解凍
    管理員可以將已凍結的CA機構解凍從而恢復其申請金鑰的許可權。

CA機構更新
    管理員可以更新已經在KM Server中註冊的CA機構的註冊資訊。

CA機構金鑰設定
    CA機構金鑰設定功能,可以設定各個註冊的CA機構申請的金鑰數量。

許可權管理
    在KM Server系統中,對管理員採用基於數字證書的身份驗證機制,管理員的管理許可權與其證書進行繫結。系統採用分散式的基於角色的許可權管理,管理員間許可權分離,某一管理員只管理某一部分功能並受其他管理員監督。

    KM Server的許可權管理包括對司法取證員的許可權管理和對管理員的許可權管理兩部分內容。

司法取證員許可權管理
    司法取證員是為進行金鑰恢復操作而設定的人員。在進行金鑰恢復時,需要由幾位特定的司法取證員共同到場,依次驗證許可權才能進行操作。
司法取證員許可權管理主要包括司法取證員註冊、查詢和刪除等。

司法取證員註冊
    只有註冊後的司法取證員才能進行司法取證操作,註冊的司法取證員人數不能超過系統允許的司法取證人員總數,不能重複註冊同一司法取證員。

司法取證員查詢
    管理員可以查詢當前系統中已經註冊的司法取證員的詳細資訊。

司法取證員刪除
    管理員可以刪除已經在系統中註冊的司法取證員,被刪除的司法取證員不能再進行司法取證操作。

管理員許可權管理
    KM Server透過為管理員分配管理角色來指定管理員可以進行哪些操作,KM Server系統中包含的管理角色有:金鑰管理角色、CA機構管理角色、許可權管理角色和審計管理角色。一個管理員可以被授予一個或多個管理角色,以分權的形式對整個系統進行有效管理。
只有具有授權管理角色的管理員才能進行以下的授權管理操作。

註冊管理員
    註冊後的管理員具有被賦予的管理角色,可以進行相應的操作。

授權管理員
    註冊後的管理員的許可權可以被修改或刪除。

金鑰恢復與司法取證
    KM Server可以透過金鑰恢復操作來提供司法取證服務。在KM Server系統中,只有擁有金鑰管理角色的管理員才能進行金鑰恢復操作。司法取證員多方到場後,金鑰管理員啟動金鑰恢復操作進行司法取證過程,分別驗證每個司法取證員的身份是否和系統中設定的司法取證員相符,驗證透過後選擇金鑰恢復方式,進行金鑰的儲存。

金鑰恢復
    金鑰恢復可以從KMServer的資料庫中提取出欲恢復金鑰(私鑰)並進行儲存,KMServer提供了2種金鑰儲存方式,基於檔案的儲存方式和基於智慧卡的儲存方式。

檔案方式
    如果選擇基於檔案的儲存方式,KMServer可以提供2種檔案格式:PKCS#1格式和PKCS#12格式。PKCS#1格式只儲存私鑰,PKCS#12格式採取將私鑰與證書用保護口令加密的方式儲存。

智慧卡方式
    基於智慧卡的儲存方式可以將欲恢復的金鑰儲存在智慧卡內。

司法取證
    司法驗證過程中,KMServer根據在系統初始化階段設定的M/N值(N個人中最少M個人到場)進行司法取證員的身份驗證,需要選擇每個司法取證人員證書進行簽名,在M個司法取證人員的簽名操作完成後,系統驗證司法取證人員的合法性(司法取證員必須為系統中註冊過的司法取證人員),驗證透過後進行金鑰恢復。

審計管理
    只有具有審計管理角色的管理員才能進行審計管理操作。KM的審計管理主要是對系統的業務日誌進行查詢、業務日誌歸檔、業務歸檔日誌查詢。業務日誌查詢條件包括操作者、操作物件證書主題、操作物件證書序列號、證書模板名稱、金鑰型別、金鑰長度、業務型別、業務結果、起始日期和時間、結束日期和時間等,查詢結果按業務操作時間排序。業務日誌歸檔使使用者可以按照年度、月度、自定義時間段三種方式進行業務日誌歸檔。業務歸檔日誌查詢條件同業務日誌查詢。

1.4 線上證書狀態查詢系統(OCSPServer)
    OCSP Server是線上證書狀態查詢系統,為證書應用提供實時的證書狀態查詢服務。OCSP Server系統完全遵照RFC2560標準實現,保證了標準性,任何符合RFC2560的產品都可以方便的連線OCSP Server進行證書狀態查詢。

    OCSP Serve透過CA的映象資料庫查詢證書狀態,這樣比查詢CRL(證書登出列表)更可靠、更及時,提供給證書應用的資訊更豐富。
OCSP Server支援為多個不同的CA系統向使用者提供統一的數字證書狀態驗證服務,證書應用向OCSP Server查詢證書狀態時,可以查詢不同CA頒發的證書狀態。
OCSP Toolkit封裝證書應用的證書狀態查詢請求,然後傳送給OCSP Server,並將從OCSP Server響應中解析的證書狀態,返回給證書應用。OCSP Toolkit為證書應用提供簡單、易用的使用者介面。減輕了證書應用開發者的工作量。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10098689/viewspace-1165898/,如需轉載,請註明出處,否則將追究法律責任。

相關文章