数字证书系统

上海CA的数字证书认证系统,为标准化软硬件一体机产品,主要应用于企业各信息化系统中,可以有效地解决企业信息化系统中面临的各种安全问题,并且部署快捷、维护方便、管理简单、扩展性好,可以适应不同企业的应用安全需求。

系统架构与组成

数字证书系统完整架构:

系统功能描述

数字证书系统服务器主要功能包括证书服务功能、证书发布和验证功能、系统管理功能、RA功能、密钥管理功能等。

证书服务功能

  • 证书签发:签发各种证书,包括个人证书、企业证书、服务器证书、系统证书等;
  • 完整证书生命周期管理(证书申请、更新、注销等);
  • 证书查询:通过Web或LDAP以特定条件查询证书和CRL;
  • 证书到期更新通知:当证书快到期前,将自动发送证书到期通知Email给用户;
  • 证书归档:保留所有已签发的证书。

证书发布和验证功能

  • 证书在线发布:当签发完证书后,将证书放入目录服务器中,支持Web和LDAP两种在线证书查询;
  • CRL 在线发布:系统定时生成CRL列表,支持Web和LDAP发布,供用户查询下载;
  • OCSP在线查询:为保证实时证书状态验证的需要,用户可以通过标准OCSP接口来获取证书有效性的检查结果;

系统管理功能

  • 系统初始化:系统内部证书的生成等;
  • 系统管理:证书策略的制定、操作员的管理等;
  • 系统监控:了解系统的运行情况;
  • 日志服务:记录管理员和操作员的所有动作;记录整个系统的内部运行错误和异常;对CA系统发证数量做实时统计和分析;提供查询、分析、审计和备份等;
  • 统计报表:提供各种条件进行相关用户和证书查询统计,并产生各种统计报表;
  • 数据库管理:提供完全备份、恢复功能,能够灵活定制备份策略;
  • 数据库与目录服务同步:保证数据库中数据与目录服务器中数据同步,实时刷新目录服务;

RA功能

  • 为用户提供证书申请、下载、吊销和更新等服务;
  • 为RA管理员提供证书申请审核、证书吊销和RA策略设置等服务;

密钥管理功能

  • 密钥生成:通过加密引擎或加密机生成所需密钥,包括生成非对称密钥和对称密钥;
  • 密钥发送:采用安全加密通道把密钥对传送给用户;
  • 密钥存储:密钥管理系统的各类密钥均需安全加密存储;
  • 密钥归档:对使用的密钥进行归档;
  • 密钥恢复:个人要求密钥恢复,通过RA管理员,访问密钥管理中心进行密钥恢复;
  • 运行管理:密钥管理中心的审计、认证、恢复、统计等系统管理。

系统特点

  • 双证书和双中心设计
    • 根据国家密码管理局要求,支持双证书和双中心。
    • 双证书包括签名证书和加密证书:签名证书用于代表用户身份进行数字签名等应用,用户私钥丢失可以重新补办,签发代表身份的新证书;加密证书用于加密文件、数据等应用,一旦丢失,可以到企业CA服务中心进行密钥恢复操作,防止加密文件、加密数据因无法解密造成的数据丢失。
    • 双中心包括CA中心和KMC中心:CA中心签发用户证书;KMC中心集中生成用户加密密钥,提供密钥恢复服务。
  • 高安全性设计
    • 通讯安全性设计:采用SSL、SPKM、CMP安全通信协议。
    • 数据安全性设计:数据库和配置文件采用加密存放。
    • 系统管理安全:密钥中心管理采用M of N 秘密分割共享控制,管理员和操作员登录管理系统均采用数字证书进行身份认证。
  • 高可靠性设计:
    • CA服务器采用最新的国家密码管理局批准的安全加密芯片,最新的硬件服务器架构,充分保证系统软件系统运行环境的高安全性和可靠性。
    • 在稳定安全高效的linux系统之上,基于java平台安全、健壮、高性能、多线程等特点进行模块化设计,保证系统本身的安全可靠运行。
    • 支持双机热备的冗余性设计,当主系统因突发事故停止运行后,备用系统能实时接管系统服务,保证系统持续性不间断运行。
  • 广泛的应用支持
    • 支持多级CA和多RA结构支持,可以支持逻辑CA和逻辑RA功能。
    • 支持各种证书介质:USBkey、SDkey、标准卡和非接触卡、文件证书。
    • 证书可扩展:证书内容和格式通过模板文件配置,可通过修改模板文件的内容对证书内容和格式进行配置。
    • 密码算法扩展:CA系统和密码模块之间相互独立,可以通过扩展密码算法模块实现算法扩展,CA系统修改配置文件即可。
  • 扩展性强
    • 跨平台设计:Linux/Unix/Windows等;
    • 多数据库支持:DB2/Oracle/MySQL等;
    • 多种证书存储介质支持:USB Key/SD Key/软盘/硬盘/智能卡等;
    • 支持遵从X.509和PKCS的各种PKI应用程序,提供安全开发套件。

遵循的技术标准和技术规范

  1. 《证书认证系统密码及其相关安全技术规范》
  2. 证书及证书撤消列表格式:509v3、国家推荐的X.509C标准
  3. 证书管理协议PKIX-CMP
  4. OCSP协议
  5. 目录服务相关标准:LDAPv2/v3
  6. 证书请求格式:CMP、PKCS #10
  7. PKCS系列标准
  8. 安全传输协议:SSL
  9. 抽象语法符号1标准
  10. 加密硬件接口标准:P11,MS CSP
  11. 语言格式标准XML
  12. 加密算法:SM系列、RSA、SSF33、SCB2、SHA1、SHA2等
  13. 其余相关国际标准和符合我国信息安全领域的相关技术标准

系统部署

资质

销售许可证

商用密码产品型号证书