義技術(shù)、RA、CA、KMC之間松耦合技術(shù)等一系列關(guān)鍵技術(shù)，以解決數(shù)本論文在對(duì)數(shù)字證書(shū)認(rèn)證系統(tǒng)的關(guān)鍵技術(shù)研究的基礎(chǔ)上，對(duì)數(shù)字證書(shū)認(rèn)證系統(tǒng)的總體體系結(jié)構(gòu)、邏輯結(jié)構(gòu)和拓?fù)浣Y(jié)構(gòu)做出詳細(xì)設(shè)計(jì)，并對(duì)數(shù)字證書(shū)簽發(fā)系統(tǒng)、數(shù)字證書(shū)審核注冊(cè)系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書(shū)體系結(jié)構(gòu)、系統(tǒng)配置等作出詳細(xì)設(shè)計(jì)，并設(shè)計(jì)了數(shù)字證書(shū)的結(jié)構(gòu)與管理方式。本論文在對(duì)數(shù)字證書(shū)認(rèn)證系統(tǒng)做出詳細(xì)設(shè)計(jì)后，對(duì)其實(shí)現(xiàn)進(jìn)行了分證書(shū)下載、自簽根證書(shū)、證書(shū)簽發(fā)、證書(shū)注銷、證書(shū)更新、證書(shū)暫停、第I第II第II第PAGE\*ROMANIV第PAGE\*ROMANIVDesignandImplementationofCertificateAuthorityThisdissertationstudiesandanalysestheresearchbackgroundandresearchsignificanceofthecertificateauthoritysystem,andpresentspublickeysystem,unifiedidentityauthoritytechnologies,asynchronousmessagingandqueueprocessingtechnology,centralizedproduction,distributedservices,businessprocesscustom,enginemonitoringscheduleandflexiblecertificateencodingformat,theprivatekeysegmentation,securecommunicationmechanism,thecertificatetemplatecustombusinesstechnology,RA,CA,KMClooselycoupledtechnologyamongaseriesofkeytechnologiesinordertogetoverthetechnicalobstaclesmaybeencounteredduringthedesignandimplementationofthecertificateauthoritysystem.Thedissertationmakesdetaileddesignsofcertificateauthorityuponthestudiesandanalysesofthekeytechnologiesofscertificateauthority,whichcontainslogicalstructureandtopologicalstructure.Andmakedetaileddesignsaboutsystemfunction,systemintroduction,systemstructure,systemmanagementofcertificateauthoritysystem,registrationauthoritysystem,andkeymanagementsystem.Thedissertationanalysesanddiscussestheimplementcertificateauthoritysystemandthedetailedworkflowincludinginitializationofsystemrole,informationentry,thecertificateexamination,certificatetodownload,self-signedrootcertificate,thecertificateissued,thecertificatecancellation,certificateupdate,certificatesuspension,thecertificatebesuspendedrecovery,keygeneration,keyupdate,keydistribution,keyrevocation,keyrecovery,certificateissued,certificatestatusinquiries,onlinecertificateverificationandThedissertationtestsandverifiestheresultofcertificatesystembasedonthesystemdesignandimplementation.Theverificationteststhesystemmajorfunctionsandperformancesofcertificateauthoritysystem,registrationauthoritysystem,andkeymanagementsystem.Thedissertationfinallysummariestheresultsofthisstudy,andanalysestheexistingproblemsandfutureperspectivesonresearchwork.Keywords:Certificate,CertificateAuthoritySystem,RegistrationAuthoritySystem,KeyManagementSystem第PAGE\*ROMANV第PAGE\*ROMANV目摘 第1 第2 關(guān)鍵技 本章小 第3 數(shù)字證 本章小 第4 本章小 第5 硬件環(huán) 軟件系 系統(tǒng)性 本章小 第6 主要結(jié) 研究展 參考文 第PAGE72第PAGE72第1章CA，又稱為證書(shū)授證(CertificateAuthority)中心，作為CA中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公開(kāi)密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能SET交易中，為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，CA不僅要對(duì)用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也是一個(gè)個(gè)體所需的數(shù)字證書(shū)。同時(shí)，CA還要對(duì)獲款的銀行以及銀行網(wǎng)關(guān)發(fā)放證書(shū)。它負(fù)責(zé)解決此問(wèn)題，70年代密碼界出現(xiàn)了公開(kāi)密鑰算法，該算法使用一對(duì)密鑰即一個(gè)私鑰CACA60家，但發(fā)展具有一CA中心還有很大差距。CA體系還沒(méi)有建立，CACACA之間不能互認(rèn)。這些信任孤島的存在，對(duì)于無(wú)邊界環(huán)境下電子商CA.CA應(yīng)用層次的開(kāi)發(fā)不夠，CA應(yīng)用的接口還不夠廣泛，深度和廣度上差距比較大，CA要想發(fā)展好一定要與應(yīng)用緊密扣在一起，如果應(yīng)用方面的廣度、深度開(kāi)發(fā)不夠，CA證書(shū)應(yīng)（CA（RA（KMC第2章RA、CA、KMCRA、LDAPXMLRSA算法為核心的公開(kāi)公開(kāi)密鑰密碼體制是現(xiàn)代密碼學(xué)的最重要的發(fā)明和進(jìn)展。1976公鑰加密算法中使用最廣的是RSA。RSA使用兩個(gè)密鑰，一個(gè)公共密鑰，一個(gè)402048bit可變，加密時(shí)也把明文分成塊，塊的大小可變，但不能超過(guò)密鑰的長(zhǎng)度，RSA算法把每一RSA． p,q（2— e<N,（2—（2— 解下列同余方程,求解密密鑰ed≡1mod （2— （2— （2—．RSA MKC=MemodN,where（2— CK-1M=Cdmod （2—RSADES算法RSA來(lái)完成對(duì)電文的數(shù)字簽名以抗對(duì)電文的否認(rèn)與抵賴；同時(shí)還可以利用PKI構(gòu)建數(shù)字證書(shū)認(rèn)證中CRL到證書(shū)在數(shù)字證書(shū)認(rèn)證系統(tǒng)研制中，RA、CA、KMC之間采用異步消息技術(shù)來(lái)傳輸數(shù)RA中有審核隊(duì)列、證CA中有證書(shū)簽發(fā)請(qǐng)求隊(duì)列、密鑰申請(qǐng)隊(duì)列、證書(shū)簽RACARA系統(tǒng)從證書(shū)請(qǐng)求隊(duì)列取出需要簽發(fā)用戶信CA，CACA內(nèi)部按流程簽發(fā)證書(shū)；CARA，RA形成證書(shū)下載隊(duì)列。CAKMC形成密鑰返回隊(duì)列，KMC系統(tǒng)自動(dòng)從返回隊(duì)列中取出返回給用戶的密鑰返回到CACARARA下載。LDAP服務(wù)器上，LDAPLDAPLDAP的數(shù)據(jù)LDAP上下CRLOCSP上在線實(shí)時(shí)查詢，這樣實(shí)現(xiàn)了用戶證書(shū)的分布式服務(wù)。則取得用戶基本信息、KMC信息（密鑰算法、加密強(qiáng)度、CA信息（RA所授權(quán)簽CA的信息、RAXML格式的證書(shū)請(qǐng)求。若證ASN.1PKCS#10的證書(shū)請(qǐng)求。53份私鑰RA、CA、KMCRA可以根據(jù)CACARAKMCCA的密鑰申請(qǐng)。私鑰分割技術(shù)、安全的通訊機(jī)制、證書(shū)業(yè)務(wù)模板自定義技術(shù)、RA、CA、KMC之間第3章入國(guó)家正式根CACA擴(kuò)展。CA時(shí)可以自簽根證書(shū)。第二級(jí)為注冊(cè)審核中心（RA，包括本地注冊(cè)審核中心和遠(yuǎn)程注冊(cè)審核中心（LRALA，LA作為代理點(diǎn)負(fù)責(zé)資料的整理和錄入工作，并將RALRA。CA自簽證書(shū)。圖3-1Fig.3-1Structureofcertificateauthority遠(yuǎn)程用戶注冊(cè)管理系統(tǒng)）和證書(shū)查詢系統(tǒng)構(gòu)成。邏輯結(jié)構(gòu)如圖3-2所示：圖3-2Fig.3-2LogicstructureofcertificateauthorityB/S中，核心層由密鑰生成服務(wù)器、密鑰管理服務(wù)器、證書(shū)/證書(shū)注銷列表生成與簽發(fā)系統(tǒng)、證書(shū)/證書(shū)注銷列表存儲(chǔ)與發(fā)布系統(tǒng)構(gòu)成；服務(wù)層由安全管理、審計(jì)管理和證書(shū)絡(luò)。具體內(nèi)容如圖3-3所示：圖3-3Fig.3-3Logicnetworklayerstructureofcertificateauthority數(shù)字證書(shū)認(rèn)證系統(tǒng)采用B/S結(jié)構(gòu)，根據(jù)規(guī)范在網(wǎng)絡(luò)實(shí)現(xiàn)上將整個(gè)系統(tǒng)分為核心核心區(qū)包括簽發(fā)服務(wù)器、主目錄服務(wù)器、CA管理終端和密鑰管理系統(tǒng)KMC（包括密鑰生成服務(wù)器、審計(jì)終端、管理終端等，其中KMC只與簽發(fā)服務(wù)器相連，以保RAKMC；服務(wù)區(qū)包括注冊(cè)服務(wù)器、審計(jì)終端、管理終端、錄入終端、審核終端和制證終端、OCSP服務(wù)器、從目錄服務(wù)器和入侵檢測(cè)、漏洞掃描、內(nèi)容如圖3-4所示：圖3-4Fig.3-4TopologicalstructureofcertificateauthorityCA的連接部署方式可以分為證書(shū)審核注冊(cè)系統(tǒng)（RA）（證書(shū)/（KMC/SOAJ2EE多CA簽發(fā)。URI配置和通訊證書(shū)簽發(fā)、密碼設(shè)備的配置、證書(shū)模板配置等。證書(shū)簽發(fā)系統(tǒng)體系結(jié)構(gòu)如圖3-5圖3-5Fig.3-5Structureofcertificatesubscription的業(yè)務(wù)請(qǐng)求。其系統(tǒng)結(jié)構(gòu)如圖3-6所示：圖3-6Fig.3-6StructureofcreateandsubscriptionKMC產(chǎn)生，簽名證書(shū)的密鑰由用戶利用密碼運(yùn)算功能的證書(shū)載體產(chǎn)生。生成與簽發(fā)系統(tǒng)協(xié)同密鑰管理系統(tǒng)KMC和證書(shū)載體產(chǎn)生雙證書(shū)，并能配合RA保存于證書(shū)載體中。CA的證書(shū)更新以及用戶加密證書(shū)的在線自動(dòng)更新功能。全管理系統(tǒng)、安全審計(jì)模塊組成，其系統(tǒng)結(jié)構(gòu)如圖3-7所示：圖3-7Fig.3-7StructureofstorageandpublicationCRL發(fā)布：證書(shū)認(rèn)證系統(tǒng)使用從目錄服務(wù)器向用戶發(fā)布數(shù)字證書(shū)和證書(shū)布、注銷、歸檔等功能的管理與控制，其系統(tǒng)結(jié)構(gòu)如圖3-8所示：圖3-8Fig.3-8StructureofcertificatemanagementRARA。CACACA5CA證書(shū)的下載：CA證書(shū)可以由用戶通過(guò)生成與簽發(fā)系統(tǒng)下載，也可以與用戶RA提供確認(rèn)信息。LDAP。CA、CACACA、KMC、RALDAP/OCSP服務(wù)器一臺(tái)，或分別安裝在多臺(tái)服務(wù)器上，并能根據(jù)功能和性CACACA請(qǐng)求為用戶提供新的非對(duì)稱密密鑰管理系統(tǒng)的體系結(jié)構(gòu)如圖3-9圖3-9Fig.3-9StructureofcertificatemanagementCA調(diào)用密鑰池（備用庫(kù)）CAKMC將密鑰庫(kù)中的加密私鑰（密文）KMC服務(wù)器的加密私鑰將密鑰庫(kù)中；CACA后轉(zhuǎn)入在用庫(kù)。號(hào)、ID號(hào)和有效時(shí)間等標(biāo)志。號(hào)、ID號(hào)和作廢時(shí)間等標(biāo)志。USBRA提交書(shū)面的密鑰恢復(fù)申請(qǐng)材料，申請(qǐng)材料需要KMC對(duì)司法取證人員的身份進(jìn)行認(rèn)證，KMC系統(tǒng)，由密KMC證書(shū)審核注冊(cè)系統(tǒng)的體系結(jié)構(gòu)如圖3-10圖3-10Fig.3-10StructureofregistrationInternet等網(wǎng)絡(luò)登錄到注冊(cè)系統(tǒng)申請(qǐng)證書(shū)；Internet等網(wǎng)絡(luò)登錄到遠(yuǎn)程注冊(cè)系統(tǒng)下載證書(shū)；RA管理的功能要求，在管理員管理中增加不同類型的管理員。對(duì)不同的管理員LDAPOCSP服務(wù)器，為用戶及應(yīng)CRL3-113-11Fig.3-11StructureofLDAPandOCSPLDAPOCSP服務(wù)器。LDAPCALDAPRALDAP負(fù)責(zé)OCSPOCSP，提供證書(shū)狀態(tài)的在線實(shí)時(shí)查詢，提（OCSPLDAP圖3-12Fig.3-12TheconstitutionofLDAPandOCSP（OCSPLDAP的地址；在LDAPOCSPLDAPLDAPCA簽發(fā)，簽發(fā)過(guò)程如下：BuiltKey）調(diào)用通用分組算法加密后存儲(chǔ)在數(shù)據(jù)區(qū)；CACA簽發(fā)，其產(chǎn)生過(guò)程如下：CACAX.509V3V3版標(biāo)準(zhǔn)擴(kuò)展項(xiàng)，并支X.509V2版證書(shū)注銷列表（CRL）格式，并發(fā)布到目錄用于各類計(jì)算機(jī)、交換機(jī)、密碼機(jī)設(shè)備，在本系統(tǒng)中設(shè)備證書(shū)包括：CA服務(wù)器證書(shū)、RA服務(wù)器證書(shū)、KMC服務(wù)器證書(shū)、OCSP服務(wù)器證書(shū)等。簽名證書(shū)（簽名密鑰對(duì)）加密證書(shū)（加密密鑰對(duì)）CA數(shù)字證書(shū)認(rèn)證系統(tǒng)體系內(nèi)部使用的證書(shū)，包括：設(shè)備證書(shū)、管理員證書(shū)、表3-1Tab.3-1StructureofserverCRL分發(fā)點(diǎn)CA3-2所示，表3-2Tab.3-2StructureoforganizationCRL分發(fā)點(diǎn)CA人員證書(shū)主要用于個(gè)人用戶。如表3-3表3-3Tab.3-3StructureofindividualCRL分發(fā)點(diǎn)CALA代理點(diǎn)RA注冊(cè)數(shù)據(jù)庫(kù)，等待審核。RACA生成與簽發(fā)服務(wù)器，CA按相同的流程簽發(fā)用戶加CARA；LARA接收到的用戶簽名證書(shū)、加密證書(shū)下載到用戶證書(shū)載體，并把RA證書(shū)注銷列表（CRL）是經(jīng)過(guò)數(shù)字簽名的已注銷證書(shū)的列表。CRLCA，CACRL提供它所簽發(fā)的數(shù)字證書(shū)的狀態(tài)信息。CRL的基本格式和擴(kuò)展域格式結(jié)構(gòu)如下：表3-4Tab.3-4Structureofcertificate版本號(hào)簽名算法標(biāo)識(shí)符頒發(fā)者名稱本次更新（日期/時(shí)間下次更新（日期/時(shí)間用戶證書(shū)序列號(hào)/吊銷日期CRL條目擴(kuò)展項(xiàng)用戶證書(shū)序列號(hào)/吊銷日期CRL擴(kuò)展域簽名算法簽名IC卡和智能密碼鑰匙。證書(shū)載體在設(shè)計(jì)過(guò)程中充分考慮了用戶證書(shū)載體在出廠時(shí)，可根據(jù)用戶要求，產(chǎn)生一個(gè)性化密鑰PBK，存儲(chǔ)在智IC卡的密鑰區(qū)。RARA系統(tǒng)對(duì)證書(shū)載體中的密碼算法、密碼芯片進(jìn)行檢測(cè)，檢測(cè)通過(guò)后，生成ID號(hào)；PBK加密后保存到證書(shū)載體密鑰區(qū)，PBKPIN第4章CARAKMCCACA需要自簽根證書(shū)。4-1CA、KMCRAFig.4-1TheinitializationgraphofCA,KMCand業(yè)務(wù)CACA根證書(shū)（自簽證書(shū)，根證書(shū)私鑰安將業(yè)務(wù)CA3個(gè)導(dǎo)入到對(duì)應(yīng)的密將業(yè)務(wù)CA3個(gè)導(dǎo)入到對(duì)應(yīng)的密碼CA31CACAKMCKMCKMCKMCKMC系統(tǒng)，經(jīng)過(guò)合法性身份驗(yàn)證后，CA31個(gè)審計(jì)管理員；CAKMC機(jī)構(gòu)證書(shū)、KMC通訊證書(shū)的證書(shū)請(qǐng)求；CAKMC機(jī)構(gòu)證書(shū)、KMCCARACARACA系統(tǒng)簽發(fā)的兩個(gè)超級(jí)管理員同時(shí)登錄RA1CACARA的通訊證書(shū)，并將相關(guān)的證書(shū)和私鑰加載到對(duì)應(yīng)的密碼服RARASSF33PIN碼后，管理控制臺(tái)將讀取該載體中的私鑰密文，PBK解密（整個(gè)解密操作均在證書(shū)載體的密存區(qū)完成數(shù)字證書(shū)認(rèn)證系統(tǒng)典型工作流程如圖4-2圖4-2Fig.4-2Thetypicalworkflowgraphofcertificateauthority拿到證書(shū)載體后登錄證書(shū)服務(wù)網(wǎng)站(RA)在線申請(qǐng)證書(shū)，獲得證書(shū)后導(dǎo)入證書(shū)載RA程，證書(shū)下載流程如圖4-3所示：圖4-3Fig.4-3TheworkflowgraphofdownloadCAID號(hào)、用戶信息等，信息經(jīng)用戶簽名私ID號(hào)；RAID號(hào)以及用戶信息由數(shù)據(jù)庫(kù)中取出證書(shū)及加密私鑰信RACA自簽根證書(shū)的簽發(fā)流程圖如圖4-4圖4-4Fig.4-4Theworkflowgraphofself-subscriptionrootCACACA發(fā)出簽發(fā)根CACACACAPBK加密，存儲(chǔ)在數(shù)據(jù)區(qū)。使用簽名公鑰對(duì)加密私鑰加密后返還給CA；CA對(duì)用戶信息及簽名公鑰和加密公鑰LDAP，同時(shí)將簽發(fā)完成RARA中下載用戶證書(shū)。證書(shū)簽發(fā)流程如圖4-5圖4-5Fig.4-5TheworkflowgraphofsubscriptioncertificateofcertificateauthorityCA根證書(shū)的有效期。戶簽發(fā)一新的證書(shū)。證書(shū)更新流程如圖4-6所示。圖4-6Fig.4-6TheworkflowgraphofcertificateCA中心可以在證書(shū)到期之前注銷證書(shū)，包括強(qiáng)制注銷和用戶申請(qǐng)注銷。發(fā)生這隸屬關(guān)系的改變。CACRL來(lái)安全方便地注銷證書(shū)。證書(shū)注消流程如圖4-7圖4-7Fig.4-7TheworkflowgraphofcertificateRA提出暫停證書(shū)請(qǐng)求。證書(shū)暫停流程如圖4-8圖4-8Fig.4-8Theworkflowgraphofcertificate值改為有效，其工作流程圖如圖4-9所示：圖4-9Fig.4-9TheworkflowgraphofcertificaterecoveryfromRA受理點(diǎn)進(jìn)行申請(qǐng)密鑰恢復(fù)，RACAKMC申請(qǐng)恢RARA受理點(diǎn)下載恢復(fù)密鑰到智能密碼鑰匙中。其工作流程如圖4-10圖4-10Fig.4-10Theworkflowgraphofkey4-114-11Fig.4-11Theworkprincipleofkey；KMC將非對(duì)稱加密私鑰密文和公鑰添加到密鑰池（備用庫(kù)）CARA寫(xiě)入用戶證書(shū)載體，如圖4-12所示：圖4-12Fig.4-12TheworkflowgraphofkeyCA中心接收到密鑰分發(fā)請(qǐng)求信息（包括用戶簽名公鑰，獲得請(qǐng)求密鑰；KMC的加密私鑰解密對(duì)稱密鑰，用對(duì)CA請(qǐng)求撤消用戶當(dāng)前使用的密鑰，如圖4-13所示：圖4-13Fig.4-13TheworkflowgraphofkeyCAKMCCAKMC對(duì)司法取證人員的身份進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，由司法取證員和業(yè)務(wù)操作員同KMC系統(tǒng)，也就是根據(jù)用戶或相關(guān)部門的要求，將加密密鑰對(duì)CACA、RA寫(xiě)入用戶證書(shū)載體或特殊載體，密鑰恢復(fù)流程如圖4-14所示。圖4-14Fig.4-14TheworkflowgraphofkeyCACACARACA，數(shù)字證書(shū)查詢與驗(yàn)證系統(tǒng)根據(jù)業(yè)務(wù)量、部門和地域的不同進(jìn)行CALDAPLDAP服務(wù)器LDAPLDAP服務(wù)器對(duì)外4-15LDAPLDAP4-15LDAPFig.4-15ThesynchronizationworkflowofLDAPLDAP4-16圖4-16Fig.4-16TheworkflowofcertificatesearchandLDAPLDAP服務(wù)器，輸入證書(shū)查詢條件（如證書(shū)中包含的姓名、；LDAPLDAP服務(wù)器給用戶返回證書(shū)狀態(tài)查詢的結(jié)果。LDAP2LDAPLDAPOCSPOCSP，提供證書(shū)狀態(tài)的在線查詢，主要針OCSPOCSP4-17請(qǐng)求應(yīng)答OCSPOCSP圖4-17Fig.4-17TheworkflowofcertificateonlineOCSPOCSP服務(wù)器接收用戶請(qǐng)求，并在其數(shù)據(jù)庫(kù)（服務(wù)器同步）OCSP第5章圖5-1Fig.5-1TopologicalstructureofcoreregionofverifyCA服務(wù)器、OracleLDAPHPDL580服務(wù)器。型號(hào)：HPDL580。配置為：2*146G硬盤/4G內(nèi)存/IntelXeon/8MB三級(jí)緩存/交換機(jī)：CISCO2950。20072007圖5-2Fig.5-2TopologicalstructureofservesregionofverifyRA服務(wù)器、OCSPServeLDAP：HPDL580。型號(hào)：HPDL580。配置為：2*146G硬盤/2G內(nèi)存/IntelXeon/4MB二級(jí)緩存/雙電源。交換機(jī)：CISCO3560/CISCO2950。20072007RedHatLinuxAS4WindowsXPProfessionalWindowsXPProfessional中文版操作系統(tǒng)系統(tǒng)并安裝相應(yīng)補(bǔ)丁軟件。CAOracle10.0.2.0在主目錄服務(wù)器和從目錄服務(wù)器上,ITEC-ids證書(shū)認(rèn)證系統(tǒng)的初始化如圖5-3圖5-3Fig.5-3Theinitializationworkflowgraphofcertificateauthority注冊(cè)系統(tǒng)初始化如圖5-4圖5-4Fig.5-4Theinitializationworkflowgraphofregistration密鑰管理系統(tǒng)初始化流程如圖5-5圖5-5Fig.5-5TheinitializationworkflowgraphofkeymanagementIP規(guī)劃及操作員相關(guān)菜單如表5-1表5-1IPTab.5-1MenuofuserandIPWEBIPRA系統(tǒng)初始化步驟功能測(cè)試如表5-233項(xiàng)測(cè)試內(nèi)容，測(cè)試結(jié)果與預(yù)期結(jié)果完全符合，由于篇23表5-2Tab.5-2Functiontestofsystem序號(hào)簽發(fā)一張自簽名的根證成功簽發(fā)一張自簽名的證使用根證書(shū)簽發(fā)一張證書(shū)，同時(shí)備份一套成功簽發(fā)一張自簽名的證將注冊(cè)系統(tǒng)三個(gè)超級(jí)管成功將RA理員和一個(gè)審計(jì)管理員RA生成注冊(cè)系統(tǒng)機(jī)構(gòu)證書(shū)KMKMKMKM數(shù)字證書(shū)簽發(fā)系統(tǒng)功能測(cè)試如表5-341項(xiàng)測(cè)試內(nèi)容，測(cè)試結(jié)果與預(yù)期結(jié)果完全符合，由于篇幅原33表5-3Tab.5-3Functiontestofcertificatesubscription序號(hào)CACARA護(hù)RARA“務(wù)務(wù)KM正確啟動(dòng)或者停止向KM務(wù)RA正確啟動(dòng)或者停止向RA數(shù)字證書(shū)審核注冊(cè)系統(tǒng)功能測(cè)試如表5-45848表5-4Tab.5-4Functiontestofregistration序號(hào)理入PINCA作證書(shū)被正確下載到智能RA密鑰管理系統(tǒng)功能測(cè)試如表5-5密鑰管理系統(tǒng)功能測(cè)試包含：司法取證員管理、密鑰生成、密鑰恢復(fù)等共計(jì)25表5-5Tab.5-5Functiontestofkeymanagement序號(hào)CA鑰用初始化營(yíng)業(yè)卡登陸KM統(tǒng)，修改/成功修改/員批量發(fā)證是指在符合PKCS#10標(biāo)準(zhǔn)的經(jīng)過(guò)審核的證書(shū)申請(qǐng)表已經(jīng)完成的前提下，CA將大批量證書(shū)申請(qǐng)進(jìn)行連續(xù)自動(dòng)簽發(fā)。：40：30500RA中心實(shí)際發(fā)證＝120張/致分為：2分鐘，2分鐘，1分鐘；錄入機(jī)，審核機(jī)/制證機(jī)兩臺(tái)機(jī)器并行工作，按照2600OCSP500OCSP150次