PKI公钥基础设施体系主要由密钥管理中心,cA认证机构,RA注册审核机构,证书/CRL发布系统和应用接口系统五部分组成,其功能如下所示.
一.密钥管理中心:向CA服务提供相关密钥服务,如密钥生成,密钥存储,密钥恢复,密钥托管和密钥运算等。
二。CA认证机构:是PK i公钥基础设施的核心,它主要完成生成/签发证书,生成/签发证书撤销列表,发布证书和撤销列表到目录服务器,维护证书数据库和审计日志库等功能。
三。RA 注册审核机构:RA是数字证书的申请,审核和注册中心。他是CA认证机构的延伸。在逻辑上,RA和CA是一个整体,主要负责提供证书注册,审核以及发证功能。
四。发布系统:主要提供LDAP服务,OCSP服务和注册服务。注册服务为用户提供在线注册的功能。LDAP提供证书和CRL目录浏览服务,OCSP 提供证书状态在线查询服务。
五。应用接口系统:为外界提供使用PKI安全服务的入口.应用接口系统一般采用API,Javabean,COM等多种形式。一个典型完整,有效的PKI应用系统至少应有以下部分:
公钥密码证书管理 证书库
黑名单的发布和管理 证书撤销
密钥的备份和恢复
自动更新密钥
自动管理历史密钥
支持交叉认证
认证机构CA采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。