PKI系统

• 权威认证机构CA

  是数字证书的申请和签发机构，是PKI的核心，管理公钥的整个生命周期

  作用
  发放证书、规定证书的有效期、通过发布证书废除列表CRL确保必要的情况下废除证书

  安全机制

  建立CA以及配套的RA（注册审批系统）

• 注册审批系统RA

  是CA证书发放、管理的延伸，提供用户和CA之间的一个接口，捕获并确认用户的身份，并提交证书请求给CA，决定信任级别的确认过程的质量可以放在数字证书中。

  主要完成收集用户信息和确认用户身份，并对发放的证书完成相应的管理功能。

  发放的证书可以存放在IC卡、硬盘或软盘等介质上。

• 数字证书库

  用于存储已经签发的数字证书及公钥，用户可以由此获得所需的其他用户的证书及公钥。

  构造证书的方法

  采用支持LDAP协议（轻量级目录访问协议）的目录系统，用户或相关的应用通过LDAP来访问证书库。

  系统必须确保证书库的完整性

  防止伪造和篡改

• 密钥备份及恢复系统

  目的
  防止用户密钥丢失

  注意事项
  密钥的备份与恢复必须由可信任的机构来完成
  只针对解密密钥，签名私钥不能够做备份
  保证私钥的唯一性

• 证书作废系统

  目的
  提高密钥使用的安全性

  原因
  密钥的丢失或泄露，用户身份变更等

  方案
  作废证书一般通过将证书列入证书废除列表CRL（一般存放在目录系统中）中来完成。

  通常系统中由CA负责创建并维护一张及时更新的CRL，而由用户正在验证证书时负责检查该证书是否在CRL中。

  证书的作废处理必须在安全、可验证的情况下进行

  确保CRL的完整性

• 应用接口API

  提供应用接口系统，使得相关应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境下的完整性和易用性，并降低管理维护成本。