企业级CA系统(ETCA)是时代亿信在充分研究国内CA现状、结合PKI实际应用需求的基础上,独立研发的一套CA产品。
企业级CA系统采用国家密码局批准的国密算法,可挂接密钥管理中心(KMC)来管理用户密钥,提高用户密钥的安全性和可恢复性。系统也支持国际通用的对称算法和非对称算法,符合PKI/CA标准,密码长度支持RSA512、1024、2048位,SM2 256位。系统遵循X.509V3证书及相关标准,能直接嵌入到现有环境中,实现与现有资源的整合。同时,系统支持多种硬件加密设备,提高了密钥签发的安全性。
ETCA采用B/S架构,实现基于Web方式的数字证书申请、审核、下载制作和作废功能,同时支持多种存储介质,为基于数字证书的企业级安全应用提供便捷、高效的支持,是实现各种安全应用的重要基础设施,通过部署该系统,可以搭建出符合政府、行业、第三方、企业需求的认证中心。
产品组成:
· 认证中心(CAServer)
CAServer是时代亿信数字证书认证系统的核心,负责所有证书的签发、注销以及证书注销列表的签发等管理功能。
· 注册中心(RAServer)
RA Server是时代亿信数字证书注册审批系统,是CA Server的证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作,同时对发放的证书进行管理。
· 密钥管理中心(KMServer)
KM Server是时代亿信密钥管理系统,为CA Server提供用户加密密钥的生成及管理服务。系统支持符合PKCS#11标准的加密设备,支持高强度的密钥及加密算法。通过PKCS#11接口直接调用硬件密码服务,密钥不出主机加密服务器,拥有高强度的安全性和保密性。
· 在线证书状态查询系统(OCSPServer)
OCSP Server是时代亿信在线证书状态查询系统,为证书应用提供实时的证书状态查询服务。OCSP Server系统完全遵照RFC2560标准实现,保证了标准性,任何符合RFC2560的产品都可以方便的连接OCSP Server进行证书状态查询。
OCSP Serve通过CA的镜像数据库查询证书状态,这样比查询CRL(证书注销列表)更可靠、更及时,提供给证书应用的信息更丰富。
OCSP Server支持为多个不同的CA系统向用户提供统一的数字证书状态验证服务,证书应用向OCSP Server查询证书状态时,可以查询不同CA颁发的证书状态。
OCSP Toolkit封装证书应用的证书状态查询请求,然后发送给OCSP Server,并将从OCSP Server响应中解析的证书状态,返回给证书应用。OCSP Toolkit为证书应用提供简单、易用的用户接口。减轻了证书应用开发者的工作量。
遵循标准:
· 数字证书格式遵循的标准
GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式
ITU-T X.509 V3(数字证书)
ITU-T X.509 V2(CRL)
证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范
证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范
RSA 算法标识符和公开密钥格式,符合PEM 和 PKCS #1 V2.0
基于因特网 RFC 1421 (PEM) 的标准文件包封格式
安全文件包封技术,符合 PKCS#7和S/MIME
· 数字证书应用接口遵循的标准
公钥密码基础设施应用技术体系 证书应用综合服务接口规范
公钥密码基础设施应用技术体系 框架规范
公钥密码基础设施应用技术体系 密码设备应用接口规范
公钥密码基础设施应用技术体系 通用密码服务接口规范
智能IC卡及智能密码钥匙密码应用接口规范
CSP规范
PKCS#11规范
· 支持的密码算法
公钥密码算法:RSA、SM2。其中RSA密钥长度1024/2048/4096比特可选。SM2支持256比特;
哈希函数算法:支持SHA1、SHA256、SM3;
对称密码算法:SSF33、SM1、DES、3DES、AES等。
· LDAP目录协议
支持轻量型目录协议第三版 (LDAPv3),具体如下:
RFC 2251:轻型目录服务访问协议
RFC 2252:属性语法定义
RFC 2253:分辨名的UTF-8字符串表示
RFC 2254:查询过滤器的字符串表示
RFC 2255:LDAP URL格式
RFC 2256:X.500用户Schema汇总
RFC 2829:LDAP认证方法
RFC 2830:传输层安全(TLS)扩展
OCSP协议:RFC2560
CA 服务系统产品功能
· CA服务:
支持国家密码管理局规定的相关算法,CA接受来自RA的业务请求,提供证书的签发和管理功能,代表用户向密钥管理中心发出密钥产生、恢复请求;为用户签发用户证书。证书签发中心系统与密钥管理系统间通讯采用通讯证书来保证安全性。通讯证书是证书签发中心与密钥管理中心、上级和下级认证机构进行通讯时使用的计算机设备证书。
· RA服务:
RAR服务支持SUN Solaris、IBM AIX、HP-UNIX、LINUX、SCO UNIX以及各种WINDOWS等操作系统平台,方案设计采用LINUX操作系统,是ETCA为用户服务的对外窗口,为用户提供证书申请、下载、注销、更新等各项业务的服务,系统支持国家密码管理局规定的相关算法。
RA总体的功能如下:
(1)进行用户身份信息的审核,确保其真实性;
(2)本区域用户身份信息管理和维护;
(3)数字证书的签发和管理。
· KMC服务:
主要负责密钥的管理,包括密钥的产生、分发、更新、备份/恢复、归档、销毁等的管理。KMC中密钥的产生采用国家密码管理局规定的主机加密服务器来完成。同时,由于KMC需要与证书签发中心的进行通信,在通信的过程中应该是安全的,因此KMC采用了SPKM安全通信协议与证书签发中心进行数据通信。
KMC要为多个证书签发中心产生用户加密密钥,满足CA签发用户加密证书的需要。通过在线的方式满足CA对密钥的需求,实时响应各CA提取密钥对的请求。KMC的设计遵循国家密码管理局《密钥管理中心基础设施建设意见指导书》中密钥管理系统设计的要求。
· 证书发布服务:
基于目录服务系统对外发布证书服务,对外发布证书信息,证书撤消列表CRL,为应用系统提供在线的查询服务。ETCA证书服务系统支持国内外主流的各种目录服务产品,包括IBM Tivoli Directory Server、Novell Directory Server、OPEN LDAP软件、iPlanet Directory Server、微软AD系统等,可以在线向目录服务系统发布数据信息。
CA 服务系统产品规格
密钥长度支持1024、2048、4096位RSA密钥
支持国密局规定的相关算法
可管理1万张以上证书
签发证书:不低于1000张/小时
最大签发性能不低于10张/秒
可管理1万对以上密钥
产生密钥:不低于1000对/小时
单次请求处理时间(用户管理、证书管理等功能)<0.3秒
每小时查询处理能力:20000次/小时
单个查询应答时间:小于0.5秒。
CA 服务系统产品方案
数字证书认证服务系统能为您解决哪些问题?
数字证书认证服务系统 为您解决以下问题:
· 解决日益增强的互联网上信息的交互的风险性;
· 自建企业级 CA ,独立管理企业的 CA 系统,免去纷杂的经费问题;
· 符合 Windows 的标准操作,操作简单;
· 很好的嵌入企业现有环境,实施时间短;
近年来,计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,互联网上信息的交互必然存在风险,黑客、病毒、木马程序、“网络钓鱼”频频得逞。而这些受到威胁的网站或遭受损失的用户,除自身的安全防范意识薄弱造成安全隐患外,最重要的一点就是都没有使用互联网上信息安全保障措施 ---- 基于 PKI 技术的 CA 服务系统。
如何选择数字证书认证服务系统?
选择适合自身业务和网络需求的认证产品,并综合考虑产品的性能、特点和整体投资,是企事业高层决策的根本出发点。有以下几点是用户在选择 CA 产品时都必须考虑的问题。
· 技术的先进性:
数字证书的格式必须遵循 X.509 国际标准,使用数字证书并利用数字信封、数字签名等非对称密钥加密技术,可以实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性。
· 可扩展性:
CA 系统开放程度直接影响到系统的生命周期。
北京时代亿信数字证书认证服务系统 (ETCA) 是公司在充分研究国内 CA 应用现状,结合 PKI 实际应用需求的基础上,独立研发的一套 CA 产品。
产品功能
时代亿信数字证书认证服务系统( ETCA )可以为企业迅速建立拥有自己的 CA 系统,为企业级安全应用提供数字证书。其主要功能如下:
· CA 策略管理
管理员可以指定 CA 管理策略,包括:根证书、个人证书、企业证书、服务器证书的密钥长度、有效期、是否备份等策略。
· 自定义根 CA (初始化)
管理员在系统初始化时,可根据需要,自己指定根 CA 的名称,并填写相关的信息。
· 证书申请、批量申请
可以在线申请个人、企业、服务器三类证书,并支持个人证书的批量申请。
· 密钥产生和证书签发
证书服务器支持软件和硬件产生密钥对,并签发证书请求,生成证书。
· 证书下载和 SecureKey 制作
管理员可以通过 Web 方式直接查询下载用户证书和私钥,并由系统自动将用户证书和私钥灌制到 USB 接口的 SecureKey 中。
· 证书信息导出
管理员可以将指定范围的用户证书信息导出到文件中,以备其它系统使用。
· 证书业务统计
管理员可以对某个时间段内证书的发放情况进行统计。
· 证书定制
可灵活定制,可以按照以月为单位。
产品组成
数字证书认证服务系统由证书受理系统,数据库和 RA 服务器以及 CA 服务器, USB 智能卡组成,管理员通过 USB 智能卡登录证书受理系统,完成用户对证书申请信息的管理,并将用户信息存入数据库,由 RA 服务器对用户申请信息验证通过后提交给 CA 服务器, CA 服务器在接收到 RA 服务证书请求后,产生数字证书和密钥并且对证书签名,然后提交给 RA 服务器,由 RA 服务器把证书存入数据库中,证书受理系统会查询提取颁发的证书并且灌制到指定的密钥智能卡中。
ETCA 服务系统逻辑图
· 证书受理系统
提供 WEB 方式的证书申请、证书管理(审核、下载、作废)、存储介质管理等功能。
· 数据库
数据库主要完成存储用户的证书申请信息,和已经签发的证书信息。
· RA 服务器
RA 服务器主要颁发用户证书和证书撤销列表( CRL ),并且接收用户证书申请,并提交到 CA 服务器。
· CA 服务器
CA 服务器主要的作用是产生密钥对和签发数字证书。
产品特点
时代亿信数字证书认证服务系统( ETCA )具有流程简捷高效,易于管理,可定制,易于与具体应用系统相结合。灵活配置、方便易用的 CA 认证系统软件,提供多重策略支持。
系统采用的对称算法和非对称算法都是国际上通用的算法,符合 PKI/CA 国际标准,所选择的加密模块也符合开放标准,例如: DES , RSA 等,密钥长度支持 512 、 1024 、 2048 位。系统遵从 X.509 证书及相关标准,能直接嵌入到现有环境中,实现与现有资源的整合,而且采用的都是 Windows 的标准操作,易学、易用,而且 ETCA 界面上是全中文的,在操作习惯的引导上也充分考虑了中国用户的习惯。
应用范围
时代亿信数字证书认证服务系统能够保证发放数字证书的权威性、有效性和可信性,解决伪造、假冒身份等安全问题。
目前企业级 CA 系统 (ETCA) 广泛用于企业,政府,军队的日常安全办公,同时也是电信,媒介,金融,保险等行业网上业务的安全保障平台。企业级 CA 服务系统还可以方便、快捷地与伙伴行业核心业务系统集成,形成优势互补的行业整体解决方案,如财务、工作流软件、 ERP 系统、 EIP 系统。
