CA认证中心

CA认证中心的建设

?尚没有明确国家级CA安全认证系统?行业性CA安全认证系统：

●中国人民银行联合12家银行建立的金融

CFCA安全认证中心

●中国电信建立的CTCA安全认证系统

●国家外贸部EDI中心建立的国富安CA

安全认证中心

一、公匙基础设施PKI

?PKI(Pubic Key Infrastructure)是一种遵循标准的

利用公钥加密技术为电子商务的开展提供一套

安全基础平台的技术和规范。

?PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能，兼包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务。如：实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。

?PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

典型的PKI体系结构——1.政策批准机构PAA

?PAA是政策批准机构，由它来创建各个PKI系统的方针，批准本PAA下属的PCA的政策，为下属PCA签发公钥证书，建立整个PKI体系的安全策略，并具有监控各PCA行为的责任。具体功能包括：

●发布PAA的公钥证书；

●制定本体系的政策和操作程序；

●制定本PKI体系中建立PCA的政策和操作程序；

●对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别；

●为下属PCA和需要定义认证的其他根证书产生证书；

●发布下属PCA的身份及位置信息；

●接收和发布下级PCA的政策；

●定义下级PCA申请证书作废请求所需的信息；

●接收和认证对它所签发的证书的作废申请请求；

●为它所签发的证书产生CRL；

●保存证书，保存CRL，审计信息，PCA政策；

?发布它所签发的证书及和CRL。

典型的PKI体系结构——2 政策PCA机构

?PCA为政策CA，制定本PCA的具体政策，可以是上级PAA政策的扩充或细化，但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。并为下属CA签发公钥证书。具体功能包括：

●发布自己的身份和位置信息；

●发布它所签发的下属CA的身份和位置信息；

●公布它的服务对象；

●发布它所制定的安全政策和证书处理有关程序：

——密钥的产生和模长

——对PCA、CA、ORA系统的安全控制

——CRL的发布频率

——审计程序

●对下属各成员进行身份认证和鉴别；

●产生和管理下属成员的公钥；

●发布PAA和自己的证书到下属成员；

●定义证书作废请求生效所需的信息和程序；

●接收和认证对它所签发的证书的作废申请请求；

●为它所签发的证书产生CRL；

●保存证书、CRL、审计信息和它所签发的政策；

●发布它所签发的证书及CRL。

典型的PKI体系结构——3 认证中心CA

?CA是认证中心，具备有限的政策制定功能，按照上级PCA 制定政策，具体的用户公钥证书的签发、生成和发布及CRL 生成及发布。具体功能包括：

●发布本地CA对PCA政策的增补部分；

●对下属各成员进行身份认证和鉴别；

●产生和管理下属证书；

●发布自身证书和上级证书；

●证实ORA的证书申请请求；

●向ORA返回证书制作的确认信息或返回已制定好的证

书；

●接收和认证对它所签发的证书的作废申请；

●为它所签发证书产生CRL；

●保存证书、CRL、审计信息和它所签发的政策；

?发布它所签发的证书和CRL。

典型的PKI体系结构——4 在线证书申请ORA 进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。必要时，还协助进行证书制作。具体功能包括：

●对用户进行身份审查和鉴别；

●将用户身份信息和公钥以数字签名的方式送给CA；

●接收CA返回的证书制作确认信息或制好的证书；

●发放CA证书，CA的上级证书以及发放用户证书；

?接受证书作废申请，验证其有效性，并向CA发送该

申请。

PKI具有十二种功能操作，涉及到的成员机构包括：PKI认证机构(P)、数据发布目录(D)、用户。

? 1.产生、验证和分发密钥

——用户自己产生密钥对：

——CA为用户产生密钥对：

——CA(包括PAA、PCA、CA)自己产生自己的密钥对

? 2.签名和验证

——PKI成员对数字签名和认证是采用多种算法的，如RSA、DES等等，这些算法可以由硬件、软件或硬软结合的加密模块(固件)来完成。

——密钥和证书存放的介质可以是内存、IC卡或软盘等。

? 3.证书的获取

——发送者发送签名信息时，附加发送自己的证书；

——单独发送证书信息的通道；

——可从访问发布证书的目录服务器获得；

——或者从证书的相关实体(如RA)处获得；

4.验证证书

●验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA

证书。

●在使用每个证书前，必须检查相应的CRL(对用户来说这种在线的检

查是透明的)。

●用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA

证书)所签发的证书有效性开始，检验每一个证书，一旦验证后，就

提取该证书中的公钥，用于检验下一个证书，直到验证完发送者的

签名证书，并将该证书中包括的公钥用于验证签名。

5.保存证书

●保存证书是指PKI实体在本地储存证书，以减少在PKI体系中获得证

书的时间，并提高证书签名的效率。

●在存储每个证书之前，应该验证该证书的有效性。PKI实体可以选择

存储其证书链上其他实体所接收到的所有证书，也可以只存储数字

签名发送者的证书。

●证书存储单元应对证书进行定时管理维护，清除已作废的或过期的

证书及在一定时间内未使用的证书。证书存储数据库还要与最新发

布的CRL文件相比较，从数据库中删除CRL文件中已发布的作废证书。

? 6.本地保存证书的获取

●CA证书可以集中存放，也可分布式存放，即可从本地保存的证书中

获取证书。用户收到签名数据后，将去检查证书存储区中是否已有

发送者签发的证书，用签发者的公钥验证签名。

?7.证书废止的申请

终止的方式：

(1)如果是密钥泄露，证书的持有者以电话或书面的方式，通知相应的

CA；

(2)如果是因关系中止，由原关系中组织方面出面通知相应的ORA或CA。

处理过程：

如果ORA得到通知，ORA应通知相应的CA，作废请求得到确认后，CA在数据库中将该证书记上作废标志，并在下次发布CRL时加入证

书作废列表，并标明作废时间。在CRL中的证书作废列表时间有规定，过期后即可删除。

PKI的操作功能（4）

?8.密钥的恢复

●在密钥泄密、证书作废后，为了恢复PKI中实体的业务处理和产生数

字签名，泄密实体将获得(包括个人用户)一对新的密钥，并要求CA

产生新的证书。

●泄漏密钥的实体是CA的情况下，它需要重新签发以前那些用泄密密

钥所签发的证书。

●每一个下属实体将产生新的密钥时，获得CA用新私钥签发新的证书，

而原来用泄密密钥签发的旧证书将作废，并被放入CRL。

●在具体做法上可采取双CA的方式来进行泄密后的恢复，即每一个

PKI实体的公钥都由两个CA签发证书，当一个CA泄密钥后，得到通

知的用户可转向另一个CA的证书链，可以通过另一个CA签发的证书

来验证签名。这样可以减少重新产生密钥时和重新签发证书的巨大

工作量，也可以使泄密CA的恢复和它对下属实体证书的重新发放工

作稍慢进行，系统的功能不受影响。

?9.CRL的获取

——CA产生CRL后，自动发送到下属各实体；

——大多数情况是：由使用证书的各PKI实体从目录服务器获得相应的CRL。

PKI的操作功能（5）

?10.密钥更新

——如果CA和其下属的密钥同时到达有效期截止日期，则CA和其下属实体同时更换密钥，CA用自己的新私钥为下属成员的新公钥签发证

书；

——如果CA和其下属的密钥不是同时对达有效截止期，当用户的密钥到期后，CA将用它当前的私钥为用户新的公钥签发证书；而CA密

钥先到达截止日期时，CA用新私钥为所有用户的当前公钥重新签发

证书。

?11.审计

——PKI体系中的任何实体都可以进行审计操作，但一般而言是由CA来执行审计，CA保存所有与安全有关的审计信息。如：产生密钥对；

证书的请求；密钥泄漏的报告；证书中包括的某种关系的中止等等。?12.存档

——出于政府和法律的要求以及系统恢复的需要，CA产生的证书和CRL应被归档，作历史文件保存。另外有关文件和审计信息出于调

整或法规的规定也需要存档。

PKI体系的互通性(互操作性)

?1.交叉认证方式

●需要互通的PKI体系中的PAA在经过协商和政策制定之后，可

以互相认证对方系统中的PAA(即根CA)。

●认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA

的公钥签发证书。

●这种认证方式减少了操作中的政策因素，对用户而言，也只

在原有的证书链上增加一个证书而已。但对于每一个根CA而

言，需要保存所有其它需要与之进行交叉认证的根CA的证书。?2.全球建立统一根方式

●这种方式是将不同的PKI体系组织在同一个全球根CA之下，

这个全球CA可由一个国际组织，如联合国等来建设。

●考虑到各个PKI体系管理者一般都希望能保持本体系的独立性，

全球统一根CA实现起来有一些具体的困难。所以，PKI体系

之间的互通性一般用交叉认证来实现。

二、中国电信CTCA建设情况（1） 中国电信自1996年开始进行电子商务安全认证的研究、试验工作；1999年8月3日，中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证中心颁发的认证证书，成为首家允许在公网上运营的CA 安全认证系统。CTCA于5月12日正式向

社会发放CA证书，并向社会免费公布CTCA安全认证系统的接口标准和API软件包，现在中国电信已经为用户发放了6万多张CTCA证书。

?采用“可信任的第三方”模式，所有加解密运算均由硬件实现（通过国家密码管理委员会办公室鉴定）。

?系统遵循国际PKCS、PKIX系统标准，按照ITU-T X.509国际标准实现，签发的证书遵循ITU-T X.509V3标准。系统还可签发标准的SSL证书，S/MIME证书；系统可以在X.509标准基础上进行证书属性的扩展，以适应不同业务系统的需求；系统支持512Bit和1024Bit公钥证书的签发。

?系统提供两种黑名单查询方式，即OCSP方式和CRL方式，其中OCSP方式为用户提供实时的证书状态查询服务，而CRL方式定期为用户提供证书黑名单列表。

采用三级管理结构：全国CA安全认证中心，（包括全国CTCA中心、CTCA湖南备份中心），省级RA中心以及地市业务受理点，已形成覆盖全国的CA证书申请、发放、管理的完整体系。系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。同时还制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等

三、中国金融认证中心（CFCA）?中国金融认证中心(CFCA )，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。

?采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。

CFCA的结构——SET系统

为在网上购物时用银行卡来进行结算的这类业务而建立的。系统分为三层结构，第一层为根CA，第二层为品牌CA，第三层根据证书使用者的不同分为CCA ( 持卡人CA )、MCA ( 商户CA )、PCA ( 网关CA )。根据今后的发展可在第二层CA和第三层CA 之间扩展出GCA ( 地区CA )。

CFCA的结构——Non-SET 系统 Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书)，

CFCA的结构——RA 系统

系统分为CA本地RA和CA远程RA。本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点。

CFCA的功能

1、证书的申请

离线申请方式

在线申请方式2．证书的审批离线审核方式

在线审核方式3．证书的发放离线方式发放

在线方式发放4．证书的归档5．证书的撤销6．证书的更新

?人工密钥更新

?自动密钥更新7．证书废止列表的管理功能( CRL )

?证书废止原因编码

?CRL的产生及其发布

?企业证书及CRL的在

线服务功能

8．CA的管理功能9．CA 自身密钥的管理功能

CA认证的应用

CA认证技术的实践与应用 1.CA认证机构 所谓认证中心，也称为数字证书认证中心，英文为CertificationAu鄄thority，简称CA。是基于国际互联网平台建立的一个公正、独立、有权威性、广受信赖的组织机构，主要负责数字证书的发行、管理及认证服务，以保证网上业务安全可靠地进行。 一般而言，CA认证体系由证书审批部门和证书操作部门组成。证书审批部门（registryauthority.RA）作为电子商务交易中受信任的第三方，承担公钥的合法性检验的责任。它负责对证书申请者进行资格审查，决定申请者是否有资格获得证书，并承担为不符合资格的证书申请者发放证书所引起的一切后果，因此审核部门应由能够承担这些责任的机构负责。证书操作部门（certificateprocessor.CP）为已授权的申请者制作、发放和管理证书。并承担因操作不当所产生的一切后果。 包括失密和为没有获得授权者发放证书等。它可以由审核部门自己担任，也可委托第三方担任。一般CA认证中心具有六项基本功能：证书发放功能，证书查询功能，证书更新功能，证书吊销功能，制定相关政策功能，保护数字证书安全功能。 （二）我国CA认证机构的现状与发展 电子商务、电子政务对网络安全的要求，不仅推动着互联网交易秩序和交易环境的建设，同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起，目前我国已有140多家CA认证机构。 但大都不具备合法身份。从2004年8月8日《中华人民共和国电子签名法》颁布以后，已被信息产业部审批的合法CA机构已有22家。其中一些行业建成了自己的一套CA体系，如中国金融认证中心（CFCA）、中国电信CA安全认证系统（CTCA）等；还有一些地区建立了区域性的CA体系，如北京数字证书认证中心（BJCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。 2.CA认证技术的实践与应用 （1）我国CA市场存在较严重的同质竞争。据信息产业部的不完全统计.目前我国有CA认证机构140多家。并且还有增建的趋势，而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。目前，过多的CA认证中心正在拼抢有限的市场规模，由于并不存在完全的不可替代性。

一、CA证书申请与使用指引

CA数字证书申请与使用指引 一、网上在线申请证书 1、申请人登陆广州市数字证书管理中心服务网站https://www.360docs.net/doc/574983760.html,，进入“机构证书”下的“申办证书”。 2、阅读申请责任书并同意责任书，填写网办应用资料，选择证书使用年限，填写申请人相关资料信息，填写单位（企业）相关资料信息，选择领取证书服务网点，并提交申请。 3、打印申请表、申请责任书各一式三份并加盖单位公章，同时准备单位企业的相关证件。 申请人自证书申请成功起，7－10个工作日后，登陆https://www.360docs.net/doc/574983760.html,查询证书受理状态，如状态为可领取，即可携带相关申请资料与费用前往所选网点领取证书。 二、领取数字证书须提交的资料 1、数字证书申请表（一式三份，加盖公章）； 2、数字证书申请责任书（一式三份，加盖公章）； 3、组织机构代码证复印件（一式三份，加盖公章）； 4、营业执照复印件（一式三份，加盖公章）； 5、国税税务登记证复印件（一式三分，加盖公章）； 6、经办人有效证件（身份证或护照）复印件（一式三份正反面，加盖公章） 三、数字证书的收费标准： 数字证书收费标准按照省物价局的标准执行，新办数字证书介质工本费200元/个，证书类型为机构和业务的服务年费100元/年/每应用；证书类型为个人的的服务年费80元/年/每应用。 付款方式：现金支付（领取数字证书时缴纳） 四、数字证书驱动下载和安装： 温馨提示：PIN即密码,初始密码统一为“123456”。 1、数字证书驱动程序下载 请登陆:https://www.360docs.net/doc/574983760.html,，点击右上角“下载专区”下载对应的驱动程序(国税)，然后选择“数字证书客户端驱动程序” 2、数字证书驱动程序安装 温馨提示：安装驱动程序时，请不要插CA证书，驱动程序安装在默认的路径下，切勿更改路径。如果要重新安装客户端驱动程序，请先将原来安装的驱动程序卸载。 ●双击下载的客户端驱动程序,解压文件。 ●双击USB驱动包.EXE，按照提示点击“确定”→“下一步”→“完成” ●然后再双击数字证书客户端.exe，确认移除证书，点击“下一步”→“完成” ●安装成功后，电脑桌面上有一个“数字证书客户端”的标志。 注：数字证书在领取时已激活，要在24小时后方可以使用。 五、证书登陆： （确保证书证书连接USB接口）证书登陆广州市国家税务局网https://www.360docs.net/doc/574983760.html,--网上办税--〉网上办税大厅--〉证书登陆--〉输入PIN码（初始密码为：123456）---〉点击登陆--〉进入网上办税界面进行办税操作。 六、服务咨询联系方式： 咨询服务热线：83963838-3线 服务监督、投诉电话：12343

CA认证

电子商务与CA认证的关系？ 电子商务正以不可逆转之势席卷全球的各行各业，但世界各地也面临着一个共同的障碍——电子商务的安全问题，必须要采用先进的安全技术对网 上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全 性、完整性、可靠性和交易的不可抵赖性。 CA认证建立了一套严密的身份认证系统，它提供的身份认证、数字签名、 数字信封等数字加密技术是目前通用可行的安全问题解决方案，可以确保电 子商务的安全性。 电子商务与CA认证的结合应用有哪几个方面？ ·安全登录 安全登录方式是指基于数字证书的用户身份自动识别方式，这种方式采用新型的用户登录及身份确认技术，解决密码登录方式烦琐、不安全的弊端。这种登录方式在各种WEB应用中的实现非常简便。安全登录依靠系统的特点，如自动登录、提供信息交换过程的安全保障、有效防止他人冒充登录、防止用户抵赖等，还能够很方便地扩充到例如网管系统、办公自动化系统、网上招标系统等各种应用系统中。 ·安全WEB站点 安全WEB站点的应用结合了SSL协议和数字证书。SSL协议允许在浏览器和服务器之间进行加密通信，同时服务器端和浏览器端分别由可信的第三方CA认证中心颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。CA认证技术保证Web交易多方面的安全需求，解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题，使Web上的交易和面对面的交易一样安全。 ·安全电子邮件 电子邮件以其使用方便、快捷、容易存储、管理的特点成为交换信息、传递公文、沟通情感的有效工具，是因特网上最常用的通信方式。但是，由于网络的开放性，一封普通的没有加密的邮件就很容易受到网络黑客的攻击，安全电子邮件利用数字证书达到以下目的：对电子邮件加密，确认发件人的身份，保证电子邮件信息在传输过程中不能被人修改，保证已发送邮件的不可否认性。 ·安全VPN （Virtual Private Networks）

CA中心概述

数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字安全证书包含以下一些内容： ·证书的版本信息； ·证书的序列号，每个证书都有一个唯一的证书序列号； ·证书所使用的签名算法； ·证书的发行机构名称，命名规则一般采用X.500格式； ·证书的有效期，现在通用的证书一般采用UTC时间格式； ·证书所有人的名称，命名规则一般采用X.500格式； ·证书所有人的公开密钥； ·证书发行者对证书的签名 2CA中的作用 CA为电子商务服务的证书中心，是PKI（Public Key Infrastructure）体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书，并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其他属性关联起来，为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。认证中心在密码管理方面的作用如下： 自身密钥的产生、存储、备份/恢复、归档和销毁从根CA开始到直接给客户发放证书的各层次CA，都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生，并存储于加密硬件内，或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中，并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准，彻底清除原有的密钥痕迹。需要强调的是，根CA密钥的安全性至关重要，它的泄露意味着整个公钥信任体系的崩溃，所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。 为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务 在客户证书的生成与发放过程中，除了有CA中心外，还有注册机构、审核机构和发放机构（对于有外部介质的证书）的存在。行业使用范围内的证书，其证书的审批控制，可由独立于CA中心的行业审核机构来完成。CA中心在与各机构进行安全通信时，可采用多种手段。对于使用证书机制的安全通信，各机构（通信端）的密钥产生、发放与管理维护，都可由CA中心来完成。 确定客户密钥生存周期，实施密钥吊销和更新管理每一张客户公钥证书都会有有效期，密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同，一般大约为2～3年。 密钥更新不外为以下两种情况：密钥对到期、密钥泄露后需要启用新的密钥对（证书吊销）。密钥对到期时，客户一般事先非常清楚，可以采用重新申请的方式实施更新。

CA认证系统

1.1 CA认证系统 1.1.1引入CA认证系统的必要性 对于电子政务的交易安全而言，其基本要求为： 1）信息保密性（Confidentiality）：即通过密码学的方式加密，所传递的信息以防止窃取； 2）信息真实性和完整性（Authenticity and integrity）:即通过数字签章（Digital signature）的方式，用Hash方式保证信息不会被改变和假冒； 3）不可否认性（Non-repudiation）:即身份认证，通过可信任的CA中心发放的CA证书来证明使用的身份。 安全传递和存储 信息应用权限控制 其中最为关键的就是建立基于证书的认证体系，或者使用可信的CA认证中心发放的CA证书。 1.1.2CA认证系统结构 CA认证系统结构

结构说明如下： 采用第三方认证机构建立CA认证中心和RA（证书注册中心），实现CA证书的注册、验证、管理功能； 通过专线连接CA认证中心，在需要安装进行CA证书验证的应用服务器上安装接口程序，实现对CA证书的验证功能。 当用户进行需进行CA认证的应用操作时WEB SERVER服务器自动使用CA认证接口程序，完成对用户身份的验证。 CA认证中心是一负责发放和管理数字证书的权威机构。CA的主要功能是：接收注册请求、处理、批准、拒绝请求、颁发证书等。用户向CA提交代表自己身份的信息（如身份证号码或E－mail地址），CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证根中心(Root CA)。 1.1. 2.1认证中心主要有以下几种功能： 证书的颁发 中心接收、验证用户（包括下级认证中心和最终用户）的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。 证书的更新 认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。 证书的查询 证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。 证书的作废 当用户的私钥由于泄密等原因，用户证书需要申请作废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是否将该证书作废。 另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表（CertificateRevocationList,CRL）来完成上述功能。 证书的归档 证书具有一定的有效期，证书过了有效期之后将被作废，但我们不能将作废的证书简单

中国金融认证中心提供的CA证书

中国金融认证中心提供的CA证书中国金融认证中心（China Financial Certification Authority，简称CFCA）是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一。在《中华人民共和国电子签名法》颁布后，CFCA成为首批获得电子认证服务许可的电子认证服务机构。 自2000年挂牌成立以来，CFCA一直致力于全方位网络信任体系的构建，历经十多年发展，已经成为国内最大的电子认证服务机构。自2009年启动战略转型以来，已逐步由单一的电子认证服务机构转变为综合的信息安全服务提供商。目前公司业务涵盖五大业务板块，即电子认证服务、互联网安全支付、信息安全产品、信息安全服务、互联网媒体及互联网金融产品。截至目前，全国已开通网上银行服务并使用数字证书的银行中，有97%的银行使用了CFCA提供的电子认证服务。 在提供专业化服务的同时，CFCA充分利用自身的权威品牌优势举办行业公益活动——“中国电子银行联合宣传年”（原“放心安全用网银联合宣传年”）。自2004年起，“中国电子银行联合宣传年”通过一系列形式向大众传播电子银行安全知识，并得到了中国人民银行、银监会、工信部以及公安部政府主管部门的大力支持，有效促进了电子银行整体行业的健康发展。2011年，活动的官方网站“中国电子银行网”正式上线。中国电子银行网是由CFCA牵头联合近60家商业银行创建的互联网金融第一门户网站，是目前行业规模最大、并极具影响力的社会化媒体平台。网站除作为大众认识电子银行业的窗口和平台外，还开展网站广告及其它品牌增值服务。 CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商，一直致力于创建高水准的基础设施条件和管理体系，竭诚为广大客户提供高质量的产品和一流服务。为营造可信的网络环境、构建稳固的网络信任体系而不断努力，以推动我国的信息安全事业繁荣发展。 一、中国金融认证中心提供的证书有： 个人证书：个人证书需要结合到具体的应用平台中，如在个人网银系统中：网银服务器端安装一张服务器证书，用户端安装一张个人证书，当用户登录网银或要发生交易时，系统会对证书有效性进行检查，只有双方的证书都有效，才能

CA认证的基本概念

一、C A认证的基本概念1．认证中心认证中心是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 认证中心的主要功能：·证书的颁发 ·证书的更新 ·证书的查询 ·证书的作废 ·证书的归档2．数字签名数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。数字签名提供了对信息来源的确定并能检测信息是否被篡改。 数字签名与数据加密完全独立。数据可以既签名又加密，只签名，只加密，当然，也可以既不签名也不加密。发送方计算出的签名和数据

一起传送给接收方，签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。3．数字证书1）数字证书的概念：数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。2）数字证书的作用：访问需要客户验证的安全I N T E R N E T站点。 用对方的数字证书向对方发送加密的邮件。 给对方发送带自己签名的邮件。3）数字证书的内容：证书的格式由ITU标准来定义。根据这项标准，证书包括申请证书个体的信息和发行证书C A的信息。证书由以下两部分组成：（1）证书数据

版本信息，用来与的将来版本兼容； 证书序列号，每一个由CA发行的证书必须有一个唯一的序列号； C A所使用的签名算法； 发行证书C A的名称； 证书的有效期限； 证书主题名称； 被证明的公钥信息，包括公钥算法、公钥的位字符串表示； 包含额外信息的特别扩展。（2）发行证书的C A签名证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。4．安全套接字层（S S L）SSL（Secure Sockets Layer：安全套接层）是一种提供INTERNET上保密性的在线协议。它允许客户/服务器应用以一种不能被偷听的方式通讯。它是INTERNET网上安全通讯与交易的标准。SSL协议使用通讯双方的证书，在通讯双方间建立一条安全的、可信任的通讯通。

CA认证中心

CA认证中心的建设 ?尚没有明确国家级CA安全认证系统?行业性CA安全认证系统： ●中国人民银行联合12家银行建立的金融 CFCA安全认证中心 ●中国电信建立的CTCA安全认证系统 ●国家外贸部EDI中心建立的国富安CA 安全认证中心

一、公匙基础设施PKI ?PKI(Pubic Key Infrastructure)是一种遵循标准的 利用公钥加密技术为电子商务的开展提供一套 安全基础平台的技术和规范。 ?PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能，兼包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务。如：实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。 ?PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

典型的PKI体系结构——1.政策批准机构PAA ?PAA是政策批准机构，由它来创建各个PKI系统的方针，批准本PAA下属的PCA的政策，为下属PCA签发公钥证书，建立整个PKI体系的安全策略，并具有监控各PCA行为的责任。具体功能包括： ●发布PAA的公钥证书； ●制定本体系的政策和操作程序； ●制定本PKI体系中建立PCA的政策和操作程序； ●对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别； ●为下属PCA和需要定义认证的其他根证书产生证书； ●发布下属PCA的身份及位置信息； ●接收和发布下级PCA的政策； ●定义下级PCA申请证书作废请求所需的信息； ●接收和认证对它所签发的证书的作废申请请求； ●为它所签发的证书产生CRL； ●保存证书，保存CRL，审计信息，PCA政策； ?发布它所签发的证书及和CRL。

CA证书办理流程及联系方式

辽宁省建设厅招投标数字证书及印章办理流程一、新办数字证书流程 二、数字证书年检流程

辽宁省数字证书认证中心各市服务中心联系方试 沈阳注册中心 地址：沈阳市和平区北八马路7巷4号（辽宁省工商银行后身） 乘车路线：231、232、282 、264 、125 、277 、399到沈医二院下车客服电话：(024)23871858 (024)23871868 辽宁CA大连注册中心 地址：大连市西岗区民运街49号（胜利路210医院对面） 电话：83771235 联系人：李冶 本溪注册中心 地址：本溪市平山区东明路4号(本溪软件园) 电话：(0414) 3105588 鞍山注册中心 地址：鞍山市铁东区卫钢街一甲一层 电话：(0412)5555141 2525406 盘锦注册中心 地址：盘锦市兴隆台区惠宾大街（市体育场北门） 电话：(0427)2836033 2836393 营口注册中心 地址：营口市站前区中心街37－甲9号

电话：(0417)2945918 2945928 2857218 丹东注册中心 地址：丹东市振兴区国桢路红房新区20－1号 电话：(0415)2373139 (0415)2373136 (0415)2373137 辽阳注册中心 地址：辽阳市白塔区暗渠街西胡同48号 电话：(0419)4126768 (0419)2121629 (0419)2253232 抚顺注册中心 地址：抚顺市抚城区浑河北路一号（石化宾馆北100米） 电话：(0413)8280860 (0413)7677111 锦州注册中心 地址：锦州市古塔区上海路三段16－77号 电话：(0416)2168086 2127699 2135611 朝阳注册中心 地址：朝阳市双塔区黄河路3段39号 电话：(0421)2721198 2721991 阜新注册中心 地址：阜新市海州区人民大街31号(人民桥北第二个路口) 电话：(0418)2837233 铁岭注册中心 地址：铁岭市银州区银州路市场南门14号 电话：(0410)2855182 (0410)2818000 (0410)2855216 (0410)2855183葫芦岛注册中心 地址：葫芦岛市龙湾大街13号 电话：(0429)3210555 3115222

ca认证中心

CA认证机构系统概况实验 第一章基础知识 1.1数字证书 定义 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。 数字证书的原理 数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，所不同的是数字证书不再是纸质的证照，而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。 1.2CA 相关定义 CA（Certificate Authority）认证中心，采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。 根证书 根证书，是指CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故

CA认证中心是发放与管理用户的数字安全证书机构

CA认证中心是发放与管理用户的数字安全证书机构项目九 CA认证 CA认证中心是发放与管理用户的数字安全证书机构，以保证网上交易数据传输的安全，申请安装证书可对数据的传输加密，加强交易的安全性。学生通过对CA 证书的下载安装，了解申请安装证书的流程。 系统中的交易企业和个人向CA认证中心提交申请，并下载安装证书，通过对整个过程的操作，更加方便对CA认证的理解。主要实验内容包括:各种证书概念和管理方法、证书申请、证书下载、证书吊销、后台对申请的审核、策略的设置、证书的颁发。 实验目的: 学生通过申请CA证书的申请、下载和安装导入，了解CA证书的相关概念，数据传输的加密方法。角色设置:

申请用户、CA认证中心管理员 实验要求: 学生申请证书，通过管理员的验证，下载证书，将证书安装导入到本地机器根目录中。 功能说明: 申请人 1、申请CA证书。 单击“申请证书”，阅读“CA证书申请协议”后点击“同意”进入证书申请表的填写。选择申请类型(“企业”或者“个人”)，填写相关的信息，提交表单。 2、下载CA证书。 后台管理员颁发证书后，申请人即可进入CA中心下载证书，申请人点击“下载证书”，用注册的用户名和密码登录。登陆后首先要生成CA证书，生成好的证书才能被下载。 3、下载并安装证书。 生成完成后，点击“allpass”证书并选择合适的实验目录进行下载。对下载好的证书进行安装，安装时双击所下载的证书，即可进入“证书管理器导入向导”，根据提示导入证书。 CA中心管理员 颁发CA证书 管理员登录后，点击“待定申请”，选择申请人并单击“颁发”进行CA证书的颁发操作。对于已经颁发的证书可以进行吊销，单击“颁发的证书”，选择要吊销的证书进行“吊销”。已经吊销的证书可在“重新颁发证书”下重新颁发。对于不成功的申请，单击“不成功的申请”，选择后可以将其删除。在“策略设置”

CA认证的基本概念

一、CA认证的基本概念 1．认证中心 认证中心是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 认证中心的主要功能： ·证书的颁发 ·证书的更新 ·证书的查询 ·证书的作废 ·证书的归档 2．数字签名 数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。数字签名提供了对信息来源的确定并能检测信息是否被篡改。 数字签名与数据加密完全独立。数据可以既签名又加密，只签名，只加密，当然，也可以既不签名也不加密。发送方计算出的签名和数据一起传送给接收方，签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。 页脚内容1

3．数字证书 1）数字证书的概念： 数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。 2）数字证书的作用： 访问需要客户验证的安全INTERNET站点。 用对方的数字证书向对方发送加密的邮件。 给对方发送带自己签名的邮件。 3）数字证书的内容： 证书的格式由ITU标准X.509V3来定义。根据这项标准，证书包括申请证书个体的信息和发行证书CA的信息。证书由以下两部分组成： （1）证书数据 版本信息，用来与X.509的将来版本兼容； 证书序列号，每一个由CA发行的证书必须有一个唯一的序列号； CA所使用的签名算法； 发行证书CA的名称； 证书的有效期限； 证书主题名称； 页脚内容2

企业CA认证系统部署应用案例

一、概述： 国内某上市公司信息化起步较早，应用系统主要分布于总公司、局公司、处公司三级单位。已经初步实现OA系统的信息整合，信息化工作进一步将围绕信息流、工作流的整合，项目管理系统的建立以及公共基础安全平台建设展开。国内某上市公司信息系统是基于互联网进行建设，由于互联网的广泛性和开放性，使得整体信息系统存在很多安全隐患，给下一步的系统建设提出了高强度身份认证、数据机密性、完整性、不可抵赖等诸多安全需求。 基于PKI((Public Key Infrastructure，公钥基础设施)技术、基于数字证书的完整的信息安全解决方案，从通信层面和应用层面解决了在网络环境和应用环境中的安全认证、数据加密、数据完整性保护和信息不可抵赖性的安全需求。能够很好实现应用资源和信息资源的开放性和安全性的结合。同时，PKI技术已经发展成熟并在各国得到了很好的应用，我国也建立了完善、自主的PKI安全体系，建设了很多地区性的CA认证中心和行业性CA认证中心。 PKI技术是国际上通行的信息安全技术，应用范围最为广泛，并且基于PKI技术的数字签名已经成为具有法律效率的信息安全手段。在美国、加拿大、欧洲以及很多发展中国家都制定了相关电子签名法案，在我国电子签名法已于2005年4月1日正式开始实施，这些法案使得基于PKI技术的数字签名真正得到了法律的认可，并使得PKI技术逐步成为最为广泛采用的信息安全技术。 国内某上市公司信息化建设中的身份认证、数据保密、数据完整、行为的抗抵赖等安全需求可以通过建设内部CA认证系统，通过向应用系统的使用者签发数字证书，实现系统登录以及操作和传输的安全保护，保证国内某上市公司各级单位信息系统的应用安全。 二、总体设计思路 某公司安全基础信息平台主要是建设企业内部CA认证系统，面向应用系统的用户和应用服务器颁发数字证书;并通过数字签名系统(MR DSign)实现基于数字证书的身份认证，替换以前的用户名+口令的认证模式。进一步还可以通过数字签名系统提供的数据加密和数字签名接口对应用系统进行深度安全加固，实现基于数字证书的机密性、完整性、抗抵赖性等安全功能。 三、CA认证系统设计 上图所示为国内某上市公司认证系统的组成，其中实线部分为本次建设的内容，包括：一个CA Server(认证中心)、一个LDAP(目录服务系统)。虚线部分为扩展性考虑部分，今后随着应用系统的建设和实施，以及证书应用的推广可在局公司建设二级CA，并可在处公司建设RA系统实现整个公司系统的信任体系和身份认证系统的建设。 总公司CA认证系统： 1. 总公司CA 该CA认证系统采用梦龙科技电子证书认证系统(MRCA)产品，公司CA是整个公司系统的信任源头，该CA部署在公司总部，该CA主要职责如下： ◆与其他CA系统的交叉认证;

CA认证市场

随着互联网的普及，尤其是电子商务、电子政务的不断实施，CA认证越来越受到人们的重视，其市场也不断扩大。但是，许多互联网用户对此概念还比较模糊，对其作用和市场不甚了解，为此，作者希望通过本文的介绍对CA认证市场及其广大网络用户起到抛砖引玉的作用。 １．关于CA CA机构，又称为证书授证（Certificate Authority）中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的证书，因此是安全电子信息交换的核心。 CA认证所签发的数字证书包括个人数字证书，企业数字证书服务器身份证书．安全Web站点证书、代码签名证书，安全电子邮件证书．广泛的被应用于电子商务、网上银行、电信、电子政务、网上身份证、数字签名、电子公证、安全电邮、保险等领域。 ２．获得数字证书的过程 首先用户要填写数字证书申请表，向认证中心申请单位提供申请人（申请单位）的身份信息；然后发证机构验证用户身份；认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附有用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其身份的合法性时，就可以提供这一数字证书了。 3．数字证书的内容 证书的格式由ITU标准X.509V3来定义。根据这项标准，证书包括申请证书个体的信息和发行证书CA的信息．证书由以下两部分组成 (1)证书数据 版本信息，用来与X.509的将来版本兼容； 证书序列号,每一个由CA发行的证书必须有一个惟一的序列号； CA所使用的签名算法； 发行证书CA的名称； 证书的有效期限； 证书主题名称； 被证明的公钥信息,包括公钥算法、公钥的位字符串表示； 包含额外信息的特别扩展。 (2)发行证书的CA签名 证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。 4．数字证书的收费标准

CA认证功能介绍

CA认证功能介绍发布日期：2008-12-30 11:38:25 概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下： （1）接收验证最终用户数字证书的申请。 （2）确定是否接受最终用户数字证书的申请-证书的审批。 （3）向申请者颁发、拒绝颁发数字证书-证书的发放。 （4）接收、处理最终用户的数字证书更新请求-证书的更新。 （5）接收最终用户数字证书的查询、撤销。 （6）产生和发布证书废止列表（CRL）。 （7）数字证书的归档。 （8）密钥归档。 （9）历史数据归档。 认证中心为了实现其功能，主要由以下三部分组成： （1）注册服务器：通过 Web Server 建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。（2）证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。（3）认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。 CA认证简介 为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。 数字证书认证中心（Certficate Authority,CA）是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心（根CA）。电子交易的各方都必须拥有合法的身份，即由数字证书认证中心机构（CA）签发的数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于

CA认证系统设计

CA认证系统设计 1.1 系统简介 本系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。 CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图： 图1 CA系统模块架构图 CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。 CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大

型iTrusCA，不同类型系统的网络建设架构是不同的。 CA系统具有下列特点： A. 符合国际和行标准； B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书； C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证； D. 高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书； E. 高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。 F. 易于部署与使用。系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。 G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。 1.2 认证体系设计 认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。 认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。

CA认证原理

https://www.360docs.net/doc/574983760.html,/blog/static/198416002008621101776/ CA简介 1、什么是CA 认证中心（CA─Certificate Authority）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构，对密钥进行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体（消费者、商户、银行）联系在一起。 随着认证中心(或称CA中心)的出现，使得开放网络的安全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，确保电子交易有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。 2、CA的架构 CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看，包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看，可以分为认证中心（根CA）、密钥管理中心（KM）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等。CA中心一般要发布认证体系声明书，向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。 根据PKI的结构，身份认证的实体需要有一对密钥，分别为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现，即一个公钥必定对应一个私钥。公钥加密的信息必须由对应的私钥才能解密，同样，私钥做出的签名，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，这就是数字信封技术。密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。 3、CA的职责 CA中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书，并履行用户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面，需要十分严格的政策和规程，要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施，对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。CA中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此，它应是能够承担这些

中国金融认证中心CA系统操作手册

数字证书下载平台用户操作手册 北京中金国信科技有限公司 二〇一六年三月

目录 1 引言 (1) 1.1 编写目的 (1) 1.2 名词定义 (1) 2 下载平台功能详解和使用方法 (1) 2.1 首页 (1) 2.2 用户证书下载 (3) 2.2.1 签名证书下载 (4) 2.2.2 加密证书下载 (6) 2.2.3 双证书下载 (7) 2.2.4 SM2双证书下载 (8) 2.2.5 其它类型证书下载 (10) 2.2.6 检验证书是否下载安装成功 (11) 2.3 Web服务器证书下载 (21) 2.4 证书换发 (24) 2.5 证书查询 (27) 2.6 CRL下载 (31)

1引言 1.1编写目的 数字证书下载平台（以下简称：下载平台）是一套为终端客户提供数字证书自助查询及下载的管理系统。本文档详细地说明用户证书下载，Web服务器证书，证书换发，证书查询，CRL下载功能及使用方法，方便用户使用。 CFCA下载平台地址： 测试系统：https://www.360docs.net/doc/574983760.html, 生产系统：https://www.360docs.net/doc/574983760.html, 1.2名词定义 CA ：数字证书下载平台 CRL : 证书吊销列表 CSP : 加密服务程序 2下载平台功能详解和使用方法 2.1首页 请打开IE浏览器，访问下载平台地址，显示如下界面（图为控件安装后界面），则说明登录成功；

图控件成功安装后首页 如控件未安装，可以点击页面上的下载控件按钮进行控件的下 载安装。 图点击下载控件 点击【运行】（Run）按钮直接运行安装控件，或点击【保存】 （Save）按钮，保存控件到本地→关闭浏览器→运行该控件，如下 图：