CA 数字证书中心

CA简介

CA，即Certificate Authority，数字证书中心。
CA作为PKI的核心部分，CA实现了PKI 中一些很重要的功能：
1. 接收验证最终用户数字证书的申请
2. 确定是否接受最终用户数字证书的申请-证书的审批
3. 向申请者颁发、拒绝颁发数字证书-证书的发放
4. 接收、处理最终用户的数字证书更新请求-证书的更新
5. 接收最终用户数字证书的查询、撤销
6. 产生和发布证书废止列表(CRL)
7. 数字证书的归档
8. 密钥归档
9. 历史数据归档
CA的核心功能就是”发放”和”管理”数字证书，同时这也是PKI的核心

典型CA框架模型

1. 安全服务器:

安全服务器面向普通用户，用于提供:
1) 证书申请
2) 浏览
3) 证书撤消列表
4) 证书下载等安全服务
安全服务器与用户的的通信采取安全信道方式(如SSL的方式，不需要对用户进行身份认证)。用户首先得到安全服务器的证书(该证书由CA颁发)，然后用户与服务器之间的所有通信，包括用户填写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输，只有安全服务器利用自己的私钥解密才能得到明文，这样可以防止其他人通过窃听得到明文。从而保证了证书申请和传输过程中的信息安全性。

2. CA服务器

CA服务器是整个证书机构的核心，负责:
1) 证书的签发
1.1) 产生自身的私钥和公钥(密钥长度至少为1024位)
1.2) 然后生成根数字证书，并且将数字证书传输给安全服务器
2) CA还负责为操作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数字证书和私钥也需要传输给安全服务器。
CA服务器是整个结构中最为重要的部分，存有CA的私钥以及发行证书的脚本文件，出于安全的考虑，应将CA服务器与其他服务器隔离，任何通信采用人工干预的方式，确保认证中心的安全。

3. 注册机构RA

登记中心服务器面向登记中心操作员，在CA体系结构中起承上启下的作用
1) 一方面向CA转发安全服务器传输过来的证书申请请求
2) 另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。

4. LDAP服务器

LDAP服务器提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。这样其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。

5. 数据库服务器：

数据库服务器是认证机构中的核心部分，用于:
1) 认证机构中数据(如密钥和用户信息等)
2) 日志和统计信息的存储和管理
实际的的数据库系统应采用多种措施，如磁盘阵列、双机备份和多处理器等方式，以维护数据库系统的安全性、稳定性、可伸缩性和高性能。