企業(yè)級(jí)CA系統(tǒng)（ETCA）是時(shí)代億信在充分研究國(guó)內(nèi)CA現(xiàn)狀、結(jié)合PKI實(shí)際應(yīng)用需求的基礎(chǔ)上，獨(dú)立研發(fā)的一套CA產(chǎn)品。

    企業(yè)級(jí)CA系統(tǒng)采用國(guó)家密碼局批準(zhǔn)的國(guó)密算法，可掛接密鑰管理中心（KMC）來(lái)管理用戶密鑰，提高用戶密鑰的安全性和可恢復(fù)性。系統(tǒng)也支持國(guó)際通用的對(duì)稱算法和非對(duì)稱算法，符合PKI/CA標(biāo)準(zhǔn)，密碼長(zhǎng)度支持RSA512、1024、2048位，SM2 256位。系統(tǒng)遵循X.509V3證書及相關(guān)標(biāo)準(zhǔn)，能直接嵌入到現(xiàn)有環(huán)境中，實(shí)現(xiàn)與現(xiàn)有資源的整合。同時(shí)，系統(tǒng)支持多種硬件加密設(shè)備，提高了密鑰簽發(fā)的安全性。

    ETCA采用B/S架構(gòu)，實(shí)現(xiàn)基于Web方式的數(shù)字證書申請(qǐng)、審核、下載制作和作廢功能，同時(shí)支持多種存儲(chǔ)介質(zhì)，為基于數(shù)字證書的企業(yè)級(jí)安全應(yīng)用提供便捷、高效的支持，是實(shí)現(xiàn)各種安全應(yīng)用的重要基礎(chǔ)設(shè)施，通過(guò)部署該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的認(rèn)證中心。

產(chǎn)品組成：

· 認(rèn)證中心（CAServer）
    CAServer是時(shí)代億信數(shù)字證書認(rèn)證系統(tǒng)的核心，負(fù)責(zé)所有證書的簽發(fā)、注銷以及證書注銷列表的簽發(fā)等管理功能。

· 注冊(cè)中心（RAServer）
    RA Server是時(shí)代億信數(shù)字證書注冊(cè)審批系統(tǒng)，是CA Server的證書發(fā)放、管理等業(yè)務(wù)的延伸。它負(fù)責(zé)所有證書申請(qǐng)者的信息錄入、審核等工作，同時(shí)對(duì)發(fā)放的證書進(jìn)行管理。

· 密鑰管理中心（KMServer）
    KM Server是時(shí)代億信密鑰管理系統(tǒng)，為CA Server提供用戶加密密鑰的生成及管理服務(wù)。系統(tǒng)支持符合PKCS#11標(biāo)準(zhǔn)的加密設(shè)備，支持高強(qiáng)度的密鑰及加密算法。通過(guò)PKCS#11接口直接調(diào)用硬件密碼服務(wù)，密鑰不出主機(jī)加密服務(wù)器，擁有高強(qiáng)度的安全性和保密性。

· 在線證書狀態(tài)查詢系統(tǒng)（OCSPServer）
    OCSP Server是時(shí)代億信在線證書狀態(tài)查詢系統(tǒng)，為證書應(yīng)用提供實(shí)時(shí)的證書狀態(tài)查詢服務(wù)。OCSP Server系統(tǒng)wq遵照RFC2560標(biāo)準(zhǔn)實(shí)現(xiàn)，保證了標(biāo)準(zhǔn)性，任何符合RFC2560的產(chǎn)品都可以方便的連接OCSP Server進(jìn)行證書狀態(tài)查詢。

    OCSP Serve通過(guò)CA的鏡像數(shù)據(jù)庫(kù)查詢證書狀態(tài)，這樣比查詢CRL（證書注銷列表）更可靠、更及時(shí)，提供給證書應(yīng)用的信息更豐富。

    OCSP Server支持為多個(gè)不同的CA系統(tǒng)向用戶提供統(tǒng)一的數(shù)字證書狀態(tài)驗(yàn)證服務(wù)，證書應(yīng)用向OCSP Server查詢證書狀態(tài)時(shí)，可以查詢不同CA頒發(fā)的證書狀態(tài)。

    OCSP Toolkit封裝證書應(yīng)用的證書狀態(tài)查詢請(qǐng)求，然后發(fā)送給OCSP Server，并將從OCSP Server響應(yīng)中解析的證書狀態(tài)，返回給證書應(yīng)用。OCSP Toolkit為證書應(yīng)用提供簡(jiǎn)單、易用的用戶接口。減輕了證書應(yīng)用開發(fā)者的工作量。

遵循標(biāo)準(zhǔn)：
· 數(shù)字證書格式遵循的標(biāo)準(zhǔn)
GB/T 20518-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
ITU-T X.509 V3（數(shù)字證書）
ITU-T X.509 V2（CRL）
證書注銷表和證書注銷表擴(kuò)展，符合 IETF PKIX－1概況表技術(shù)規(guī)范
證書注銷表和證書注銷表擴(kuò)展，符合 IETF PKIX－1概況表技術(shù)規(guī)范
RSA 算法標(biāo)識(shí)符和公開密鑰格式，符合PEM 和 PKCS #1 V2.0
基于因特網(wǎng) RFC 1421 (PEM) 的標(biāo)準(zhǔn)文件包封格式
安全文件包封技術(shù)，符合 PKCS#7和S/MIME

· 數(shù)字證書應(yīng)用接口遵循的標(biāo)準(zhǔn)
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 證書應(yīng)用綜合服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 框架規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 密碼設(shè)備應(yīng)用接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 通用密碼服務(wù)接口規(guī)范
智能IC卡及智能密碼鑰匙密碼應(yīng)用接口規(guī)范
CSP規(guī)范
PKCS#11規(guī)范

· 支持的密碼算法
公鑰密碼算法：RSA、SM2。其中RSA密鑰長(zhǎng)度1024/2048/4096比特可選。SM2支持256比特；
哈希函數(shù)算法：支持SHA1、SHA256、SM3；
對(duì)稱密碼算法：SSF33、SM1、DES、3DES、AES等。

· LDAP目錄協(xié)議
支持輕量型目錄協(xié)議第三版 (LDAPv3),具體如下：
RFC 2251：輕型目錄服務(wù)訪問(wèn)協(xié)議
RFC 2252：屬性語(yǔ)法定義
RFC 2253：分辨名的UTF-8字符串表示
RFC 2254：查詢過(guò)濾器的字符串表示
RFC 2255：LDAP URL格式
RFC 2256：X.500用戶Schema匯總
RFC 2829：LDAP認(rèn)證方法
RFC 2830：傳輸層安全（TLS）擴(kuò)展
OCSP協(xié)議：RFC2560

CA 服務(wù)系統(tǒng)產(chǎn)品功能
· CA服務(wù)：
    支持國(guó)家密碼管理局規(guī)定的相關(guān)算法，CA接受來(lái)自RA的業(yè)務(wù)請(qǐng)求，提供證書的簽發(fā)和管理功能，代表用戶向密鑰管理中心發(fā)出密鑰產(chǎn)生、恢復(fù)請(qǐng)求；為用戶簽發(fā)用戶證書。證書簽發(fā)中心系統(tǒng)與密鑰管理系統(tǒng)間通訊采用通訊證書來(lái)保證安全性。通訊證書是證書簽發(fā)中心與密鑰管理中心、上級(jí)和下級(jí)認(rèn)證機(jī)構(gòu)進(jìn)行通訊時(shí)使用的計(jì)算機(jī)設(shè)備證書。

· RA服務(wù)：
    RAR服務(wù)支持SUN Solaris、IBM AIX、HP-UNIX、LINUX、SCO UNIX以及各種WINDOWS等操作系統(tǒng)平臺(tái)，方案設(shè)計(jì)采用LINUX操作系統(tǒng)，是ETCA為用戶服務(wù)的對(duì)外窗口，為用戶提供證書申請(qǐng)、下載、注銷、更新等各項(xiàng)業(yè)務(wù)的服務(wù)，系統(tǒng)支持國(guó)家密碼管理局規(guī)定的相關(guān)算法。

RA總體的功能如下：
（1）進(jìn)行用戶身份信息的審核，確保其真實(shí)性；
（2）本區(qū)域用戶身份信息管理和維護(hù)；
（3）數(shù)字證書的簽發(fā)和管理。

· KMC服務(wù)：
    主要負(fù)責(zé)密鑰的管理，包括密鑰的產(chǎn)生、分發(fā)、更新、備份/恢復(fù)、歸檔、銷毀等的管理。KMC中密鑰的產(chǎn)生采用國(guó)家密碼管理局規(guī)定的主機(jī)加密服務(wù)器來(lái)完成。同時(shí)，由于KMC需要與證書簽發(fā)中心的進(jìn)行通信，在通信的過(guò)程中應(yīng)該是安全的，因此KMC采用了SPKM安全通信協(xié)議與證書簽發(fā)中心進(jìn)行數(shù)據(jù)通信。

    KMC要為多個(gè)證書簽發(fā)中心產(chǎn)生用戶加密密鑰，滿足CA簽發(fā)用戶加密證書的需要。通過(guò)在線的方式滿足CA對(duì)密鑰的需求，實(shí)時(shí)響應(yīng)各CA提取密鑰對(duì)的請(qǐng)求。KMC的設(shè)計(jì)遵循國(guó)家密碼管理局《密鑰管理中心基礎(chǔ)設(shè)施建設(shè)意見(jiàn)指導(dǎo)書》中密鑰管理系統(tǒng)設(shè)計(jì)的要求。

· 證書發(fā)布服務(wù)：
    基于目錄服務(wù)系統(tǒng)對(duì)外發(fā)布證書服務(wù)，對(duì)外發(fā)布證書信息，證書撤消列表CRL，為應(yīng)用系統(tǒng)提供在線的查詢服務(wù)。ETCA證書服務(wù)系統(tǒng)支持國(guó)內(nèi)外主流的各種目錄服務(wù)產(chǎn)品，包括IBM Tivoli Directory Server、Novell Directory Server、OPEN LDAP軟件、iPlanet Directory Server、微軟AD系統(tǒng)等，可以在線向目錄服務(wù)系統(tǒng)發(fā)布數(shù)據(jù)信息。

CA 服務(wù)系統(tǒng)產(chǎn)品規(guī)格
密鑰長(zhǎng)度支持1024、2048、4096位RSA密鑰
支持國(guó)密局規(guī)定的相關(guān)算法
可管理1萬(wàn)張以上證書
簽發(fā)證書：不低于1000張/小時(shí)
{zd0}簽發(fā)性能不低于10張/秒
可管理1萬(wàn)對(duì)以上密鑰
產(chǎn)生密鑰：不低于1000對(duì)/小時(shí)
單次請(qǐng)求處理時(shí)間（用戶管理、證書管理等功能）<0.3秒
每小時(shí)查詢處理能力：20000次/小時(shí)
單個(gè)查詢應(yīng)答時(shí)間：小于0.5秒。

CA 服務(wù)系統(tǒng)產(chǎn)品方案
數(shù)字證書認(rèn)證服務(wù)系統(tǒng)能為您解決哪些問(wèn)題？

數(shù)字證書認(rèn)證服務(wù)系統(tǒng) 為您解決以下問(wèn)題：
· 解決日益增強(qiáng)的互聯(lián)網(wǎng)上信息的交互的風(fēng)險(xiǎn)性；

· 自建企業(yè)級(jí) CA ，獨(dú)立管理企業(yè)的 CA 系統(tǒng)，免去紛雜的經(jīng)費(fèi)問(wèn)題；

· 符合 Windows 的標(biāo)準(zhǔn)操作，操作簡(jiǎn)單；

· 很好的嵌入企業(yè)現(xiàn)有環(huán)境，實(shí)施時(shí)間短；

    近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，互聯(lián)網(wǎng)上信息的交互必然存在風(fēng)險(xiǎn)，黑客、病毒、木馬程序、“網(wǎng)絡(luò)釣魚”頻頻得逞。而這些受到威脅的網(wǎng)站或遭受損失的用戶，除自身的安全防范意識(shí)薄弱造成安全隱患外，最重要的一點(diǎn)就是都沒(méi)有使用互聯(lián)網(wǎng)上信息安全保障措施 ---- 基于 PKI 技術(shù)的 CA 服務(wù)系統(tǒng)。

如何選擇數(shù)字證書認(rèn)證服務(wù)系統(tǒng)？
    選擇適合自身業(yè)務(wù)和網(wǎng)絡(luò)需求的認(rèn)證產(chǎn)品，并綜合考慮產(chǎn)品的性能、特點(diǎn)和整體投資，是企事業(yè)高層決策的根本出發(fā)點(diǎn)。有以下幾點(diǎn)是用戶在選擇 CA 產(chǎn)品時(shí)都必須考慮的問(wèn)題。

· 技術(shù)的先進(jìn)性：
    數(shù)字證書的格式必須遵循 X.509 國(guó)際標(biāo)準(zhǔn)，使用數(shù)字證書并利用數(shù)字信封、數(shù)字簽名等非對(duì)稱密鑰加密技術(shù)，可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證以及網(wǎng)上信息傳送的保密性、完整性、真實(shí)性和不可否認(rèn)性。

· 可擴(kuò)展性：
    CA 系統(tǒng)開放程度直接影響到系統(tǒng)的生命周期。

    北京時(shí)代億信數(shù)字證書認(rèn)證服務(wù)系統(tǒng) (ETCA) 是公司在充分研究國(guó)內(nèi) CA 應(yīng)用現(xiàn)狀，結(jié)合 PKI 實(shí)際應(yīng)用需求的基礎(chǔ)上，獨(dú)立研發(fā)的一套 CA 產(chǎn)品。

產(chǎn)品功能
    時(shí)代億信數(shù)字證書認(rèn)證服務(wù)系統(tǒng)（ ETCA ）可以為企業(yè)迅速建立擁有自己的 CA 系統(tǒng)，為企業(yè)級(jí)安全應(yīng)用提供數(shù)字證書。其主要功能如下：

· CA 策略管理
    管理員可以指定 CA 管理策略，包括：根證書、個(gè)人證書、企業(yè)證書、服務(wù)器證書的密鑰長(zhǎng)度、有效期、是否備份等策略。

· 自定義根 CA （初始化）
    管理員在系統(tǒng)初始化時(shí)，可根據(jù)需要，自己指定根 CA 的名稱，并填寫相關(guān)的信息。

· 證書申請(qǐng)、批量申請(qǐng)
    可以在線申請(qǐng)個(gè)人、企業(yè)、服務(wù)器三類證書，并支持個(gè)人證書的批量申請(qǐng)。

· 密鑰產(chǎn)生和證書簽發(fā)
    證書服務(wù)器支持軟件和硬件產(chǎn)生密鑰對(duì)，并簽發(fā)證書請(qǐng)求，生成證書。

· 證書下載和 SecureKey 制作
    管理員可以通過(guò) Web 方式直接查詢下載用戶證書和私鑰，并由系統(tǒng)自動(dòng)將用戶證書和私鑰灌制到 USB 接口的 SecureKey 中。

· 證書信息導(dǎo)出
    管理員可以將指定范圍的用戶證書信息導(dǎo)出到文件中，以備其它系統(tǒng)使用。

· 證書業(yè)務(wù)統(tǒng)計(jì)
    管理員可以對(duì)某個(gè)時(shí)間段內(nèi)證書的發(fā)放情況進(jìn)行統(tǒng)計(jì)。

· 證書定制
    可靈活定制，可以按照以月為單位。

產(chǎn)品組成
    數(shù)字證書認(rèn)證服務(wù)系統(tǒng)由證書受理系統(tǒng)，數(shù)據(jù)庫(kù)和 RA 服務(wù)器以及 CA 服務(wù)器， USB 智能卡組成，管理員通過(guò) USB 智能卡登錄證書受理系統(tǒng)，完成用戶對(duì)證書申請(qǐng)信息的管理，并將用戶信息存入數(shù)據(jù)庫(kù)，由 RA 服務(wù)器對(duì)用戶申請(qǐng)信息驗(yàn)證通過(guò)后提交給 CA 服務(wù)器， CA 服務(wù)器在接收到 RA 服務(wù)證書請(qǐng)求后，產(chǎn)生數(shù)字證書和密鑰并且對(duì)證書簽名，然后提交給 RA 服務(wù)器，由 RA 服務(wù)器把證書存入數(shù)據(jù)庫(kù)中，證書受理系統(tǒng)會(huì)查詢提取頒發(fā)的證書并且灌制到指定的密鑰智能卡中。

ETCA 服務(wù)系統(tǒng)邏輯圖
· 證書受理系統(tǒng)
    提供 WEB 方式的證書申請(qǐng)、證書管理（審核、下載、作廢）、存儲(chǔ)介質(zhì)管理等功能。

· 數(shù)據(jù)庫(kù)
    數(shù)據(jù)庫(kù)主要完成存儲(chǔ)用戶的證書申請(qǐng)信息，和已經(jīng)簽發(fā)的證書信息。

· RA 服務(wù)器
    RA 服務(wù)器主要頒發(fā)用戶證書和證書撤銷列表（ CRL ），并且接收用戶證書申請(qǐng)，并提交到 CA 服務(wù)器。

· CA 服務(wù)器
    CA 服務(wù)器主要的作用是產(chǎn)生密鑰對(duì)和簽發(fā)數(shù)字證書。

產(chǎn)品特點(diǎn)
    時(shí)代億信數(shù)字證書認(rèn)證服務(wù)系統(tǒng)（ ETCA ）具有流程簡(jiǎn)捷高效，易于管理，可定制，易于與具體應(yīng)用系統(tǒng)相結(jié)合。靈活配置、方便易用的 CA 認(rèn)證系統(tǒng)軟件，提供多重策略支持。

    系統(tǒng)采用的對(duì)稱算法和非對(duì)稱算法都是國(guó)際上通用的算法，符合 PKI/CA 國(guó)際標(biāo)準(zhǔn)，所選擇的加密模塊也符合開放標(biāo)準(zhǔn)，例如： DES ， RSA 等，密鑰長(zhǎng)度支持 512 、 1024 、 2048 位。系統(tǒng)遵從 X.509 證書及相關(guān)標(biāo)準(zhǔn)，能直接嵌入到現(xiàn)有環(huán)境中，實(shí)現(xiàn)與現(xiàn)有資源的整合，而且采用的都是 Windows 的標(biāo)準(zhǔn)操作，易學(xué)、易用，而且 ETCA 界面上是全中文的，在操作習(xí)慣的引導(dǎo)上也充分考慮了中國(guó)用戶的習(xí)慣。

應(yīng)用范圍
    時(shí)代億信數(shù)字證書認(rèn)證服務(wù)系統(tǒng)能夠保證發(fā)放數(shù)字證書的qw性、有效性和可信性，解決偽z、j冒身份等安全問(wèn)題。

    目前企業(yè)級(jí) CA 系統(tǒng) (ETCA) 廣泛用于企業(yè)，政府，jd的日常安全辦公，同時(shí)也是電信，媒介，金融，保險(xiǎn)等行業(yè)網(wǎng)上業(yè)務(wù)的安全保障平臺(tái)。企業(yè)級(jí) CA 服務(wù)系統(tǒng)還可以方便、快捷地與伙伴行業(yè)核心業(yè)務(wù)系統(tǒng)集成，形成優(yōu)勢(shì)互補(bǔ)的行業(yè)整體解決方案，如財(cái)務(wù)、工作流軟件、 ERP 系統(tǒng)、 EIP 系統(tǒng)。