根据运营型CA的安全要求,CA中心需要划分不同安全级别的安全域,并把不一样的模块部署在不同的安全域内。按照安全级别的高低,CA中心的安全域主要包括:
①KM区:部署密钥管理系统。
②核心区:部署证书CRL签发系统、主LDAP系统、主OCSP系统等。
③管理区:部署证书管理系统。
④服务区:部署从LDAP系统、从OCSP系统、RA系统等。
KM区内,密钥管理系统只接收来自核心区的证书CRL签发系统的服务请求。核心区内,证书CRL签发系统只接收来自管理区证书管理系统的请求;主LDAP系统和主OCSP系统都是单向通信,只定期将数据同步到服务区内的从LDAP系统和从OCSP系统,管理区内,证书管理系统只接收来自服务区RA系统的各种业务请求。服务区内,RA系统负责面向直接用户,提供证书申请、身份审核和证书下载等服务。
各安全域之间通过防火墙进行边界保护,并部署IDS、漏洞扫描、防病毒等安全系统进行网络安全和主机安全防护。
为确保业务的连续性,尽量降低或避免单点故障对运营服务的营销,可配置双网络链路、核心服务器双机热备、磁盘阵列等。为保证业务服务性能,从LDAP系统和从OCSP系统的硬件服务器性能要优于其他服务器。
当RA采取浏览器/服务器(BS)模式时,可把服务区与管理区网络放在同一网段。
