CA系统要求

1.功能要求

CA系统提供的服务功能主要有:

①提供各种证书在其生命周期中的管理服务。

②给出RA的多类建设方式,RA可都托管在CA系统；也能部分托管在CA，部分建在远端。

③提供人工或自动2种审核模式。

④支持多级CA认证。

⑤有证书查询、状态查询、作废列表下载、目录服务等功能。

2.性能要求

CA系统的性能应支持如下要求:

①系统对用户接口用标准的HTTP、HTPS和LDAP协议,确保各种用户都能用本系统服务。

②系统各模块的状态信息存在配置文件与数据库内部,保证系统的部署与配置方便性,当系统需改变配置时不用中断系统的服务。

③各模块的功能可由配置文件控制,系统可由不一样的需求设置。

④系统某一功能模块可有多个实例,且多个实例可运行在一台或多台计算机上。

⑤系统应有冗余设计,保证它的不间断运行。

3.管理员配置要求

CA应设置下列人员:超级管理员、审计管理员、业务管理员、业务操作员。其中,“超级管理员”设置CA系统的策略,即各子系统的业务管理员并授权其业务范围。“业务管理员”管理CA系统的子系统业务,设置本子系统的业务操作员并授权其操作的权限。“业务操作员”按其权限操作具体的业务。“审计管理员”审计与监督系统安全的有关事件与各种管理、操作人员的行为。

上述各类人员使用证书进行登录,其中“超级管理员”与“审计管理员”的证书应在CA系统初始化时一起产生。

另外,CA应安排安全管理员,全面负责系统的安全。

4.网络划分

CA系统的计算机网络需合理分段,原则上把整个网络分为4部分。

①公共部分(区):CA用户所在的网络,全部用户将借该网络访问CA。

②服务部分(区):为外部用户给出域名解析功能,并负责内部系统对外邮件的收发。包括系统的各种Web服务器与从目录服务器,是外部用户访问内部功能的接口,给用户给出了访问界面。

③管理部分(区):只供CA的工作人员使用的网络。

④核心部分(区):包括各种核心应用、数据库和密码设备等在内的实现系统功能的安全网络。

当RA用客户机服务器(CS)模式时,应根据以上方式划分网络。

当RA用浏览器/服务器模式时,可以把服务区和管理区网络归在一个网段。

5.初始化要求

CA的初始化过程须完成以下工作：

①产生本CA的机构密钥并进行安全备份。

②若本CA为根CA,则用根CA的签名密钥进行自签名;若本CA从属于某一根CA,则把产生的签名公钥提交根CA签发本CA的证书。

③由CA签发CA服务器证书。

④由CA签发RA服务器证书(可选)。

⑤由CA签发超级管理员和审计管理员证书。

⑥由CA签发其他管理员和操作员证书。