8.1 系統

8.1.1　功能要求

CA提供的服務功能主要有：

a) 提供各種證書在其生命周期中的管理服務；

b) 提供RA的多種建設方式，RA可以全部托管在CA系統，也可以部分托管在CA，部分建在遠端；

c) 提供人工審核或自動審核兩種審核模式；

d) 支持多級CA認證；

e) 提供證書查詢、證書狀態查詢、證書撤銷列表下載、目錄服務等功能。

8.1.2　性能要求

CA系統的性能應滿足如下要求：

a) 系統對用戶接口采用標準的HTTP、HTTPS、LDAP和OCSP協議，確保各種用戶都能夠使用本系統服務；

b) 系統各模塊的狀態信息保存在配置文件和數據庫內部，保證系統的部署方便性和配置方便性，當系統需改變配置時無需中斷系統的服務；

c) 各模塊的功能可以通過配置文件進行控制，系統可以根據不同的需求進行設置；

d) 系統某一功能模塊可有多個實例，并且多個實例可運行在一臺或多臺計算機上；

e) 系統應有冗余設計，保證系統的不間斷運行。

8.1.3　管理員配置要求

在CA應設置下列管理和操作人員：

a) 超級管理員

b) 審計管理員

c) 審計員

d) 業務管理員

e) 業務操作員

“超級管理員”負責CA系統的策略設置，設置各子系統的業務管理員并對其管理的業務范圍進行授權。

“業務管理員”負責CA系統的某個子系統的業務管理，設置本子系統的業務操作員并對其操作的權限進行授權。

“業務操作員”按其權限進行具體的業務操作。

“審計管理員”負責產生審計員并進行管理。

“審計員”負責對涉及系統安全的事件和各類管理和操作人員的行為進行審計和監督。

上述各類人員使用證書進行登錄，其中“超級管理員”和“審計管理員”的證書應在CA系統進行初始化時同時產生。

另外，CA應設置安全管理員，全面負責系統的安全工作。

8.1.4　網絡劃分

CA系統的計算機網絡需要合理分段，原則上要求整個網絡應劃分為四部分：

a) 公共部分：為CA用戶所在的網絡，所有用戶將通過該網絡訪問CA；

b) 服務部分：為外部用戶提供域名解析功能，并負責內部系統對外郵件的收發功能；包括系統的各種Web服務器和從目錄服務器，是外部用戶訪問內部功能的接口，為用戶提供訪問界面；

c) 管理部分：僅供CA的工作人員使用的網絡；

d) 核心部分：包括各種核心應用、數據庫和密碼設備等在內的實現系統功能的安全網絡。

當RA采用客戶機/服務器（C/S）模式時，應該按照上述方式劃分網絡；當RA采取瀏覽器/服務器（B/S）模式時，可將服務與管理網絡放在同一網段。網絡結構示意圖參見附錄A。

8.1.5　初始化要求

CA的初始化過程必須完成下列工作：

a) 產生本CA的機構密鑰對，并使用（3，5）門限秘密共享機制將密鑰對中的私鑰交由5個獨立的分管者保管。門限秘密共享機制的算法本標準不做規定；

b) 若本CA為根CA，則使用根CA的簽名密鑰進行自簽名；若本CA從屬于某一根CA，則將產生的簽名公鑰提交根CA簽發本CA的證書；

c) 由CA簽發CA服務器證書；

d) 由CA簽發RA服務器證書（可選）；

e) 由CA簽發超級管理員和審計管理員證書；

f)由CA簽發其他審計員、管理員和操作員證書