认证中心的功能
概括地说,认证中心的主要功能有:证书的颁发;证书的更新;证书的查询;证书的归档;证书的作废;以及密钥的备份与恢复等。
证书的颁发
认 证中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请,则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。为了保证消息的完整性, 返回给用户的所有应答信息都要使用认证中心的签名。
证书的更新
用 户证书过期后,可以申请更新。更新方式有两种:一种是通过执行人工密钥更新来更新证书;一种是通过实现自动密钥更新来更新证书。签名密钥也会与证书一起更新。当系统核查证书是否过期时,对接近过期的证书,将创建新的签名密钥对。利用现行证书建立与认证中心之间的连接,认证中心将创建新的证书,并进行归档。 在归档的同时,供用户在线下载。
证书的查询
证书的查询可以分为两类,其一是证书申请的查询,认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。
证书的作废
在 证书的有效期内,由于私钥丢失泄密等原因,必须废除证书。此时证书持有者要提出证书废除申请。注册管理中心一旦收到证书作废请求,就可以立即执行证书撤消,并同时通知用户,使之知道特定证书已被撤消。另外一种证书作废的情况是证书已经过了有效期,认证中心自动将该证书作废。每次使用时,系统都要检查证书 是否已被作废。不过个人证书则要人工查询是否作废。
认证中心通过维护证书作废列表CRL (Certificate Revocation List)来完成上述功能。CRL并不存放作废证书的全部内容,它只存放作废证书的序列号(Serial Number),以便提高检索速度。PKI使用LDAP在线目录系统进行CRL发布,用户可以通过在线方式查询。
证书的归档
CA 所发证书要定期归档,以备查询。除用于用户的签名密钥外,对证书所有数据信息,都要进行归档处理。证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。基于此类考虑,认证中 心还应当具备管理作废证书和作废私钥的功能。
CA使用目录服务器系统存储证书和证书的撤消列表。目录和数据库备份可以根据组织机构的安全策略执行归档,最长时间可达7年保存期。数据库还保存审计和安全记录。对于用户密钥对,CA是通过专用程序自动存储和管理密钥历史及密钥备份。
密钥的备份与恢复 CA很重要的一个功能就是密钥的备份与恢复。密钥的备份分为CA自身密钥与用户密钥的备份与恢复