1.功能要求
CA系统提供的服务功能主要有:
①提供各种证书在其生命周期中的管理服务。
②给出RA的多类建设方式,RA可都托管在CA系统;也能部分托管在CA,部分建在远端。
③提供人工或自动2种审核模式。
④支持多级CA认证。
⑤有证书查询、状态查询、作废列表下载、目录服务等功能。
2.性能要求
CA系统的性能应支持如下要求:
①系统对用户接口用标准的HTTP、HTPS和LDAP协议,确保各种用户都能用本系统服务。
②系统各模块的状态信息存在配置文件与数据库内部,保证系统的部署与配置方便性,当系统需改变配置时不用中断系统的服务。
③各模块的功能可由配置文件控制,系统可由不一样的需求设置。
④系统某一功能模块可有多个实例,且多个实例可运行在一台或多台计算机上。
⑤系统应有冗余设计,保证它的不间断运行。
3.管理员配置要求
CA应设置下列人员:超级管理员、审计管理员、业务管理员、业务操作员。其中,“超级管理员”设置CA系统的策略,即各子系统的业务管理员并授权其业务范围。“业务管理员”管理CA系统的子系统业务,设置本子系统的业务操作员并授权其操作的权限。“业务操作员”按其权限操作具体的业务。“审计管理员”审计与监督系统安全的有关事件与各种管理、操作人员的行为。
上述各类人员使用证书进行登录,其中“超级管理员”与“审计管理员”的证书应在CA系统初始化时一起产生。
另外,CA应安排安全管理员,全面负责系统的安全。
4.网络划分
CA系统的计算机网络需合理分段,原则上把整个网络分为4部分。
①公共部分(区):CA用户所在的网络,全部用户将借该网络访问CA。
②服务部分(区):为外部用户给出域名解析功能,并负责内部系统对外邮件的收发。包括系统的各种Web服务器与从目录服务器,是外部用户访问内部功能的接口,给用户给出了访问界面。
③管理部分(区):只供CA的工作人员使用的网络。
④核心部分(区):包括各种核心应用、数据库和密码设备等在内的实现系统功能的安全网络。
当RA用客户机服务器(CS)模式时,应根据以上方式划分网络。
当RA用浏览器/服务器模式时,可以把服务区和管理区网络归在一个网段。
5.初始化要求
CA的初始化过程须完成以下工作:
①产生本CA的机构密钥并进行安全备份。
②若本CA为根CA,则用根CA的签名密钥进行自签名;若本CA从属于某一根CA,则把产生的签名公钥提交根CA签发本CA的证书。
③由CA签发CA服务器证书。
④由CA签发RA服务器证书(可选)。
⑤由CA签发超级管理员和审计管理员证书。
⑥由CA签发其他管理员和操作员证书。