证书CRL签发系统

TIME:2019-03-15   click: 400 次

一、系统功能

认证系统的核心是证书CRL签发系统,不但可给证书认证系统签发证书/CRL,还负责整个系统中主要的安全管理。其主要功能如下:

(1)证书生成与签发

数据库中读用户信息,由拟签发的证书类型申请加密密钥对,生成用户的签名与加密证书,把签发的证书发到目录服务器和数据库中。由系统配置与管理策略,不一样种类或用途的证书可用不一样的签名密钥。

(2)证书更新

系统应提供CA证书及用户证书的更新功能。

(3)CRL生成与签发

接收作废信息,验证作废信息中的签名,然后签发CRL,把签发后的CRL发布到数据库或目录服务器中。签发CRL的签名密钥可与签发证书的密钥相同或不同。

(4)安全审计

管理与操作人员的日志查询、统计及报表打印证书CRL生成与签发系统。

(5)安全管理

安全访问控制证书CRL生成与签发系统的登录,并管理和备价证书CRL数据库;设置管理员、操作员,并为他们申请和下载数字证书;配置不一样的密码设备及证书模板。

证书/CRL生成与签发系统应可并行处理。

二、模块组成

证书CRL签发系统由CRL生成与签发、安全管理、安全审计、数据库、目录服务器及密码设备等组成。

1.证书CRL生成与签发

主要功能有证书与CRL/ARL的生成与签发。

(1)证书的签发

结合收到的请求信息,从数据库中得到用户信息,对密钥管理系统申请加密密钥对,之后生成并签发签名与加密证书,两个证书的私钥通过证书管理系统下传给申请者,同时把证书发布到数据库和目录服务器中。在这个过程中,一定要确保私钥传递的安全。

(2)CRL的签发

先核实申请信息中的数字签名,之后签发CRL,并发到数据库或目录服务器的指定地方。

2.密码设备

密码设备完成签名及验证,并与其他系统通信过程中的运算,CA的签名密钥保存在设备中。上述工作时,须使所用的密钥不能通过明文形式被读出设备。

3.安全管理

安全管理主要有以下内容:

①配置证书模板:不一样的证书种类由不一样的证书模板确定,模板有相应种类证书的基本项和扩展项。

②配置CRL发布策略:可自动/人工发布选择、时间间隔。

③更新CA密钥。

④备份和归档证书。

⑤安全配置服务器,含服务器可接受的主机访问列表。

⑥给其他子系统定义管理员及给管理员签发数字证书。

⑦数据库系统的配置:数据源的选择、连接的用户名和口令设置。

4.安全审计

查证书CRL生成与签发系统中的审计日志,并统计与打印。

上一篇:证书CRL存储发布系统 下一篇:证书CRL查询系统