1) 產(chǎn)品概述

數(shù)字證書(shū)認(rèn)證系統(tǒng)是以PKI技術(shù)為基礎(chǔ)建立的，負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的信息安全系統(tǒng)。數(shù)字證書(shū)認(rèn)證系統(tǒng)嚴(yán)格遵循國(guó)家密碼管理局的數(shù)字證書(shū)相關(guān)規(guī)范，提供數(shù)字證書(shū)的申請(qǐng)、審核、簽發(fā)、注銷(xiāo)、更新、查詢(xún)等功能。

信安通數(shù)字證書(shū)認(rèn)證系統(tǒng)包括數(shù)字證書(shū)認(rèn)證服務(wù)器、注冊(cè)審核服務(wù)器、密鑰管理服務(wù)器、證書(shū)/OCSP查詢(xún)服務(wù)器等基礎(chǔ)模塊，協(xié)作構(gòu)成的完整的、高效的認(rèn)證體系架構(gòu)，是一套成熟的、可靠的數(shù)字證書(shū)基礎(chǔ)設(shè)施產(chǎn)品。

信安通數(shù)字證書(shū)認(rèn)證系統(tǒng)在設(shè)計(jì)上符合國(guó)際通用標(biāo)準(zhǔn)，同時(shí)嚴(yán)格遵循的各項(xiàng)規(guī)定，是一套開(kāi)放式的系統(tǒng)，支持多級(jí)CA的分布式部署。核心架構(gòu)采用Java語(yǔ)言開(kāi)發(fā)，具有良好的平臺(tái)兼容性。系統(tǒng)設(shè)計(jì)靈活、可擴(kuò)展性強(qiáng)。

2) 資質(zhì)證書(shū)

3) 功能特點(diǎn)

（1）數(shù)字證書(shū)認(rèn)證服務(wù)器

證書(shū)認(rèn)證服務(wù)器是數(shù)字認(rèn)證系統(tǒng)的核心，具體功能介紹如下：

• 證書(shū)管理

證書(shū)管理主要包括證書(shū)的申請(qǐng)，查看、下載，更新，凍結(jié)，解凍、歸檔、注銷(xiāo)等操作。

• 模板管理

內(nèi)置有十幾種標(biāo)準(zhǔn)證書(shū)模板及標(biāo)準(zhǔn)證書(shū)擴(kuò)展域，能夠滿(mǎn)足大多數(shù)的證書(shū)簽發(fā)需求。同時(shí)支持自定義證書(shū)模板和自定義擴(kuò)展域。

• 權(quán)限管理

管理員采用基于數(shù)字證書(shū)的身份驗(yàn)證機(jī)制，管理權(quán)限與其證書(shū)進(jìn)行綁定。系統(tǒng)采用分布式的基于角色的權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

• 機(jī)構(gòu)管理

機(jī)構(gòu)指的是注冊(cè)審核服務(wù)器。一個(gè)證書(shū)認(rèn)證服務(wù)器可對(duì)應(yīng)多個(gè)注冊(cè)審核服務(wù)器，在證書(shū)認(rèn)證服務(wù)器的管理端實(shí)現(xiàn)對(duì)機(jī)構(gòu)的管理。

• 證書(shū)歸檔和證書(shū)統(tǒng)計(jì)

證書(shū)認(rèn)證服務(wù)器支持對(duì)已過(guò)期長(zhǎng)期不用的證書(shū)進(jìn)行歸檔和統(tǒng)計(jì)。

（2）注冊(cè)審核服務(wù)器

注冊(cè)審核服務(wù)器是證書(shū)認(rèn)證服務(wù)器的證書(shū)發(fā)放、管理等業(yè)務(wù)的延伸，具體功能介紹如下：

• 證書(shū)管理

主要包括證書(shū)的申請(qǐng)，審核、制作、下載、查看、更新、凍結(jié)，解凍、歸檔、注銷(xiāo)等操作。

• 用戶(hù)管理

在注冊(cè)審核服務(wù)器設(shè)置了三種類(lèi)型的用戶(hù)，分別是個(gè)人用戶(hù)、企業(yè)用戶(hù)和機(jī)器用戶(hù)。系統(tǒng)提供對(duì)三種用戶(hù)的管理。

• DN規(guī)則管理

系統(tǒng)提供了證書(shū)規(guī)則定義和管理功能，通過(guò)用戶(hù)信息或企業(yè)信息中的某些特定項(xiàng)來(lái)自動(dòng)生成證書(shū)主題信息，免去用戶(hù)掌握證書(shū)主題規(guī)則的專(zhuān)業(yè)性，降低用戶(hù)使用系統(tǒng)的難度。

• 模板管理

注冊(cè)審核服務(wù)器中的模板和使用證書(shū)認(rèn)證服務(wù)器同步過(guò)來(lái)的模版，進(jìn)行統(tǒng)一配置審核策略，即注冊(cè)審核服務(wù)器中的所有用戶(hù)根據(jù)模板的不同采用不同的審核策略，并且不同的業(yè)務(wù)采取不同的審核策略。

（3）密鑰管理服務(wù)器

密鑰管理服務(wù)器為證書(shū)簽發(fā)系統(tǒng)提供用戶(hù)加密密鑰的生成及管理服務(wù)，具體功能介紹如下：

• 密鑰管理

密鑰管理包括密鑰產(chǎn)生，在用密鑰的查詢(xún)、統(tǒng)計(jì)與備份、密鑰歸檔。

• 機(jī)構(gòu)管理

密鑰管理服務(wù)器對(duì)需要進(jìn)行密鑰申請(qǐng)的機(jī)構(gòu)進(jìn)行統(tǒng)一管理，可以對(duì)多個(gè)機(jī)構(gòu)提供密鑰管理服務(wù)，包括機(jī)構(gòu)添加、查看、任命、參數(shù)設(shè)置、凍結(jié)、解凍、注銷(xiāo)。

• 權(quán)限管理

管理員采用基于數(shù)字證書(shū)的身份驗(yàn)證機(jī)制，管理員的管理權(quán)限與其證書(shū)進(jìn)行綁定。系統(tǒng)采用分布式的基于角色的權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

• 密鑰恢復(fù)和司法取證

可以從密鑰管理服務(wù)器的數(shù)據(jù)庫(kù)中提取出需要恢復(fù)的密鑰（私鑰）并進(jìn)行保存。司法取證員可在密鑰管理服務(wù)器進(jìn)行密鑰恢復(fù)操作。

（4）證書(shū)/OCSP查詢(xún)服務(wù)器

系統(tǒng)提供對(duì)證書(shū)及證書(shū)狀態(tài)查詢(xún)的支持，用戶(hù)可以通過(guò)標(biāo)準(zhǔn)的證書(shū)狀態(tài)查詢(xún)接口來(lái)獲取證書(shū)有效性的檢查結(jié)果，任何證書(shū)的作廢應(yīng)能夠即時(shí)反應(yīng)到在線(xiàn)證書(shū)查詢(xún)中。

4) 產(chǎn)品方案

CA數(shù)字證書(shū)系統(tǒng)的典型部署方式需要為數(shù)字證書(shū)認(rèn)證服務(wù)器、注冊(cè)審核服務(wù)器、密鑰管理服務(wù)器、以及這三個(gè)服務(wù)配置各自的數(shù)據(jù)庫(kù)主機(jī)和加密機(jī)。按照核心區(qū)、管理區(qū)和服務(wù)區(qū)劃分網(wǎng)段和物理空間，所有服務(wù)器主機(jī)部署在同一機(jī)房中。典型部署方式邏輯嚴(yán)謹(jǐn)、安全性高、適用性強(qiáng)，適合行業(yè)級(jí)及大中型組織使用。此外，CA數(shù)字證書(shū)系統(tǒng)還可根據(jù)用戶(hù)的組織架構(gòu)特點(diǎn)和分級(jí)管理需要，進(jìn)行層次化分級(jí)部署。

5) 軟件系統(tǒng)截圖

6) 主要技術(shù)指標(biāo)