前现有CA系统可以完成基本的证书申请和签发流程,但没按规范设计,功能欠缺和模块划分不符合要求,现请根据《GM T 0034-2014 基于SM2密码算法的证书认证系统密码及其相关安全技术规范》重新划分功能模块,现有已做好的功能保留,对CA系统如下调整及补充:
1、 在现有CA系统基础上,将系统分成RA(证书注册机构)、CA(证书认证机构)、OCSP系统(待完善)和CRL查询系统(缺少) ,其中RA包含用户注册管理系统(分本地和远程系统)、证书管理系统和安全管理系统,负责受理数字证书的申请、更新、恢复和注销等证书的全生命周期业务,RA接口(针对通过接口提交CSR的情况)请求需要有IP授权控制;
(本地)用户注册管理系统部署在内网(可以和证书管理系统合在一起),由RA操作员负责用户证书/CRL的申请、审核以及证书的制作,其主要功能如下:
-用户信息的录入:录入用户的申请信息,用户申请信息包括签发证书所需要的信息,还包括用于验证用户身份的信息,这些信息存放在用户注册管理系统的数据库中。用户注册管理系统EXCEL文件格式批量导入的用户信息。
用户信息的审核:提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书CSR提交给CA签发系统。
用户证书下载:签名密钥对由UKEY生成,系统不保存用户签名私钥;系统默认生成双证书(缺少),即生成签名证书和加密证书,双证书都下载到UKEY。
-安全审计:负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报
远程用户注册管理系统部署在外网,负责对外开放用户注册,用户可以自行提交CSR申请到RA,由RA操作员审核后推送到CA签发,支持从RA数据库或从目录服务器下载证书进UKEY里;
证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核(提供人工审核和自动审核两种模式)、生成、签发、存储、发布、注销、归档等功能的管理控制系统;
CA由证书/CRL生成与签发系统、证书/CRL存储发布系统构成,负责对RA提交的CSR和CRL进行签发和生成证书/CRL(提供人工审核和自动审核两种模式,并支持多级CA签发),系统默认生成双证书,其中加密证书的密钥对暂时由CA应用软件生成,证书默认保存在数据库并同步返回给RA;存储发布系统负责证书/CRL文件的备份和还原(缺少)和打包下载,并支持将证书/CRL文件发布至主目录服务器(LDAP)和从目录服务器(缺少),CRL支持手工和自动发布模式(缺少);CA要支持对RA进行IP授权访问(缺少)。
2、 RA和CA需要采用UKEY登录模式(缺少),可照搬签名服务器的UKEY登录代码进来。
3、 RA和CA都缺少数据库的备份和还原功能,系统的操作日志要求有导出备份功能。
4、 证书CRL查询系统(缺少)。
5、 OCSP系统请按规范的要求进行完善设计,之前的设计只具体一个简单的查询功能(详细看规范P9-P10)。
6、 CA系统的初始化需按照规范P16-P17的要求完善。
7、 缺少SSL证书功能。
系统各子系统的详细功能和操作流程请详细看规范要求。