CA認(rèn)證系統(tǒng)設(shè)計(jì)1.1

系統(tǒng)介紹本系統(tǒng)是參考國(guó)際領(lǐng)先CA系統(tǒng)設(shè)計(jì)思想，繼承了國(guó)際領(lǐng)先CA系統(tǒng)成熟性、優(yōu)異性、安全可靠及可擴(kuò)展性，自主開(kāi)發(fā)、享受完全自主知識(shí)產(chǎn)權(quán)數(shù)字證書(shū)服務(wù)系統(tǒng)。系統(tǒng)含有完善功效，能夠完成從企業(yè)自主建立標(biāo)準(zhǔn)CA到政府、行業(yè)建立大型服務(wù)型CA等全方面需求。CA系統(tǒng)采取模塊化結(jié)構(gòu)設(shè)計(jì)，由最終用戶(hù)、RA管理員、CA管理員、注冊(cè)中心（RA）、認(rèn)證中心（CA）等組成，其中注冊(cè)中心（RA）和認(rèn)證中心（CA）又包含對(duì)應(yīng)模塊，系統(tǒng)架構(gòu)以下圖：圖1

CA系統(tǒng)模塊架構(gòu)圖CA系統(tǒng)能提供完善功效，包含：證書(shū)簽發(fā)、證書(shū)生命周期管理、證書(shū)吊銷(xiāo)列表（CRL）查詢(xún)服務(wù)、目錄查詢(xún)服務(wù)、CA管理、密鑰管理和日志審計(jì)等全方面功效。CA系統(tǒng)根據(jù)用戶(hù)數(shù)量不一樣分為小型iTrusCA、標(biāo)準(zhǔn)型iTrusCA、企業(yè)型iTrusCA和大型iTrusCA，不一樣類(lèi)型系統(tǒng)網(wǎng)絡(luò)建設(shè)架構(gòu)是不一樣。CA系統(tǒng)含有下列特點(diǎn)：A.

符合國(guó)際和行標(biāo)準(zhǔn)；B.

證書(shū)類(lèi)型多樣性及靈活配置。能夠發(fā)放包含郵件證書(shū)、個(gè)人身份證書(shū)、企業(yè)證書(shū)、服務(wù)器證書(shū)、代碼署名證書(shū)和VPN證書(shū)等多種類(lèi)型證書(shū)；C.

靈活認(rèn)證體系配置。系統(tǒng)支持樹(shù)狀用戶(hù)私有認(rèn)證體系，支持多級(jí)CA，支持交叉認(rèn)證；D.

高安全性和可靠性。使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、USBKEY等硬件設(shè)備和對(duì)應(yīng)網(wǎng)絡(luò)產(chǎn)品（證書(shū)漫游產(chǎn)品）來(lái)保留用戶(hù)證書(shū)；E.

高擴(kuò)展性。依據(jù)用戶(hù)需要，對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放多種類(lèi)型證書(shū)；系統(tǒng)支持多級(jí)CA，支持交叉CA；系統(tǒng)支持多級(jí)RA。F.

易于布署和使用。系統(tǒng)全部用戶(hù)、管理員界面全部是B/S模式，CA/RA策略配置和定制和用戶(hù)證書(shū)管理等全部是經(jīng)過(guò)瀏覽器進(jìn)行，并含有具體操作說(shuō)明。G.

高兼容性。支持多種加密機(jī)、多個(gè)數(shù)據(jù)庫(kù)和支持多個(gè)證書(shū)存放介質(zhì)。1.2

認(rèn)證體系設(shè)計(jì)認(rèn)證體系是指證書(shū)認(rèn)證邏輯層次結(jié)構(gòu)，也叫證書(shū)認(rèn)證體系。證書(shū)信任關(guān)系是一個(gè)樹(shù)狀結(jié)構(gòu)，由自署名根CA為起始，由它簽發(fā)二級(jí)子CA，二級(jí)子CA又簽發(fā)它下級(jí)CA，以此遞推，最終某一級(jí)子CA簽發(fā)最終用戶(hù)證書(shū)。認(rèn)證體系理論上能夠無(wú)限延伸，但從技術(shù)實(shí)現(xiàn)和系統(tǒng)管理上，認(rèn)證層次并非越多越好。層次越多，技術(shù)實(shí)現(xiàn)越復(fù)雜，管理難度也增大。證書(shū)認(rèn)證速度也會(huì)變慢。通常，國(guó)際上最大型認(rèn)證體系層次全部不超出4層，而且瀏覽器等軟件也不支持超出4層認(rèn)證體系。本方案設(shè)計(jì)用戶(hù)CA認(rèn)證系統(tǒng)采取以下圖所表示認(rèn)證體系：圖2

用戶(hù)CA認(rèn)證體系圖圖所表示，認(rèn)證體系采取3層結(jié)構(gòu)：

第一層是自署名用戶(hù)根CA，是處于離線狀態(tài)，含有用戶(hù)權(quán)威性和品牌特征。

第二層是由用戶(hù)根CA簽發(fā)用戶(hù)子CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶(hù)證書(shū)子CA。

第三層為用戶(hù)證書(shū)，由用戶(hù)子CA簽發(fā)，從用戶(hù)證書(shū)證書(shū)信任鏈中能夠看出整個(gè)用戶(hù)CA認(rèn)證體系結(jié)構(gòu)，用戶(hù)證書(shū)在用戶(hù)應(yīng)用范圍內(nèi)受到信任。采取這種認(rèn)證體系含有下列特點(diǎn)：（1）表現(xiàn)用戶(hù)權(quán)威性從認(rèn)證體系上看，用戶(hù)CA含有自己統(tǒng)一根CA，由用戶(hù)進(jìn)行統(tǒng)一管理，負(fù)責(zé)整個(gè)用戶(hù)認(rèn)證體系、CA策略和證書(shū)策略定制和管理，這么充足表現(xiàn)了用戶(hù)權(quán)威性。（2）含有很好可擴(kuò)展性圖所表示體系含有很好可擴(kuò)展性，采取三層結(jié)構(gòu)為體系擴(kuò)展預(yù)留了空間（因?yàn)榇蠖鄶?shù)應(yīng)用全部只支持四層以下），依據(jù)用戶(hù)實(shí)際應(yīng)用需求，未來(lái)能夠在子CA下，簽發(fā)下級(jí)子CA；或針對(duì)別應(yīng)用再簽發(fā)子CA這么，使得用戶(hù)CA認(rèn)證體系含有很好可擴(kuò)展性。（3）含有很好可操作性

采取三層體系結(jié)構(gòu)，相對(duì)比較簡(jiǎn)單，在CA創(chuàng)建和管理上也相當(dāng)比較輕易。即使從技術(shù)上認(rèn)證體系支持無(wú)限擴(kuò)展，不過(guò)層次越多，技術(shù)實(shí)現(xiàn)越復(fù)雜，管理難度也增大。而采取三層結(jié)構(gòu)是現(xiàn)在業(yè)界比較通用、標(biāo)準(zhǔn)做法。這么，使得用戶(hù)CA認(rèn)證體系含有很好可操作性。1.3

系統(tǒng)網(wǎng)絡(luò)架構(gòu)采取CA系統(tǒng)將為用戶(hù)建設(shè)一個(gè)CA中心和一個(gè)RA中心，CA系統(tǒng)全部模塊能夠安裝在同一臺(tái)服務(wù)器上，也能夠采取多臺(tái)服務(wù)器分別安裝各模塊。系統(tǒng)網(wǎng)絡(luò)架構(gòu)以下圖所表示：圖3

CA系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖圖所表示，將CA系統(tǒng)CA認(rèn)證中心和RA注冊(cè)中心各模塊安裝在CA服務(wù)器上，為了確保系統(tǒng)安全，CA服務(wù)器必需在安全區(qū)域，即采取防火墻和外界進(jìn)行隔離。最終用戶(hù)使用瀏覽器，訪問(wèn)CA服務(wù)器，進(jìn)行證書(shū)申請(qǐng)和管理。管理員（包含CA管理員和RA管理員，能夠是同一個(gè)管理員擔(dān)任）使用瀏覽器，訪問(wèn)CA服務(wù)器，進(jìn)行證書(shū)管理和CA管理。1.4

證書(shū)存放介質(zhì)本方案推薦使用USBKEY來(lái)保留用戶(hù)證書(shū)及私鑰。USBKEY是以USB為接口存放設(shè)備，它便于攜帶和使用，能夠?qū)崿F(xiàn)在全部機(jī)器（含有USB接口）上漫游，能夠滿(mǎn)足用戶(hù)移動(dòng)辦公需求。USBKEY能夠設(shè)置用戶(hù)口令保護(hù)，增強(qiáng)了證書(shū)及私鑰安全性。為了在發(fā)生USBKEY丟失等情況時(shí)，私鑰能夠恢復(fù)或還能夠用私鑰解密以前加密郵件，在申請(qǐng)證書(shū)時(shí)，密鑰對(duì)能夠在系統(tǒng)中產(chǎn)生而不是在USBKEY中產(chǎn)生，當(dāng)證書(shū)申請(qǐng)成功后，再將私鑰和證書(shū)導(dǎo)入到USBKEY中；同時(shí)系統(tǒng)能夠以文件形式保留私鑰和證書(shū)備份，這就提供了在USBKEY丟失時(shí)對(duì)用戶(hù)私鑰和證書(shū)保護(hù)方法。1.5

CA系統(tǒng)功效CA系統(tǒng)含有完善功效，采取iTrusCA系統(tǒng)設(shè)計(jì)用戶(hù)CA認(rèn)證系統(tǒng)也含有完善功效，包含：（1）證書(shū)簽發(fā)經(jīng)過(guò)CA認(rèn)證系統(tǒng)，能夠申請(qǐng)、產(chǎn)生和分發(fā)數(shù)字證書(shū)，含有證書(shū)簽發(fā)功效。用戶(hù)訪問(wèn)CA認(rèn)證系統(tǒng)，提交證書(shū)申請(qǐng)請(qǐng)求，申請(qǐng)數(shù)字證書(shū)；RA管理員訪問(wèn)管理員站點(diǎn)，審查和同意用戶(hù)證書(shū)申請(qǐng)請(qǐng)求；CA認(rèn)證中心依據(jù)RA管理員同意，簽發(fā)用戶(hù)證書(shū)，并將數(shù)字證書(shū)公布到目錄服務(wù)器中。用戶(hù)CA認(rèn)證系統(tǒng)，獲取簽發(fā)證書(shū)。（2）證書(shū)生命周期管理經(jīng)過(guò)CA認(rèn)證系統(tǒng)，能夠?qū)崿F(xiàn)證書(shū)生命周期管理，包含：

證書(shū)申請(qǐng)最終用戶(hù)使用瀏覽器，訪問(wèn)CA認(rèn)證系統(tǒng)，能夠進(jìn)行證書(shū)申請(qǐng)，在線提交證書(shū)申請(qǐng)請(qǐng)求；

證書(shū)同意管理員登錄管理員站點(diǎn)，完成證書(shū)同意功效，能夠查看和審批最終用戶(hù)證書(shū)申請(qǐng)請(qǐng)求；

證書(shū)查詢(xún)最終用戶(hù)能夠經(jīng)過(guò)CA認(rèn)證系統(tǒng)，查詢(xún)自己或她人數(shù)字證書(shū)；

證書(shū)下載經(jīng)過(guò)CA認(rèn)證系統(tǒng)，能夠下載簽發(fā)數(shù)字證書(shū)；

證書(shū)吊銷(xiāo)最終用戶(hù)在使用證書(shū)期間，有可能會(huì)出現(xiàn)部分問(wèn)題，如：證書(shū)丟失、忘記密碼等，最終用戶(hù)就需要將原證書(shū)吊銷(xiāo)。用戶(hù)吊銷(xiāo)證書(shū)時(shí)，能夠直接訪問(wèn)CA認(rèn)證系統(tǒng)，在線向CA提交證書(shū)吊銷(xiāo)請(qǐng)求，CA認(rèn)證系統(tǒng)依據(jù)用戶(hù)選擇，自動(dòng)吊銷(xiāo)用戶(hù)證書(shū)，并將吊銷(xiāo)證書(shū)添加到證書(shū)吊銷(xiāo)列表（CRL）中，根據(jù)證書(shū)吊銷(xiāo)列表公布周期進(jìn)行公布；

證書(shū)更新在用戶(hù)證書(shū)到期前，用戶(hù)需要更新證書(shū)，用戶(hù)訪問(wèn)CA認(rèn)證系統(tǒng)，查詢(xún)用戶(hù)證書(shū)狀態(tài)，對(duì)立即過(guò)期用戶(hù)證書(shū)進(jìn)行更新。（3）CRL服務(wù)功效CA認(rèn)證系統(tǒng)支持證書(shū)黑名單列表（CRL）功效，能夠配置指定RACRL下載地點(diǎn)及CRL公布時(shí)間。CA認(rèn)證系統(tǒng)定時(shí)產(chǎn)生CRL列表，并將產(chǎn)生CRL公布至Web層CRL服務(wù)模塊，能夠經(jīng)過(guò)手工下載該CRL。（4）目錄服務(wù)功效CA認(rèn)證系統(tǒng)支持目錄服務(wù)，支持LDAPV3規(guī)范，CA認(rèn)證系統(tǒng)在簽發(fā)用戶(hù)證書(shū)時(shí)或?qū)ψC書(shū)進(jìn)行吊銷(xiāo)處理時(shí)，會(huì)立即更新目錄內(nèi)容。證書(shū)目錄服務(wù)功效提供給用戶(hù)進(jìn)行證書(shū)查詢(xún)功效，用戶(hù)能夠經(jīng)過(guò)電子郵件（Email）、用戶(hù)名稱(chēng)（CommonName）、單位名稱(chēng)（Organization）和部門(mén)名稱(chēng)（OU）等字段查找CA認(rèn)證系統(tǒng)簽發(fā)用戶(hù)證書(shū)。（5）CA管理功效CA認(rèn)證系統(tǒng)含有完善CA管理功效，包含：

管理員管理

RA管理員管理，包含初始化RA管理員申請(qǐng)、增加RA管理員、刪除RA管理員；

CA管理員管理，包含初始化CA管理員申請(qǐng)、后續(xù)CA管理員證書(shū)申請(qǐng)、吊銷(xiāo)CA管理員證書(shū)。

賬號(hào)管理

個(gè)人賬號(hào)管理，包含注冊(cè)信息，證書(shū)信息等管理；

RA賬號(hào)管理，包含RA賬號(hào)申請(qǐng)、同意、吊銷(xiāo)、額外管理員證書(shū)申請(qǐng)等。

策略管理

證書(shū)策略配置管理，高度靈活和可擴(kuò)展配置CA所簽發(fā)證書(shū)使用期、專(zhuān)題、擴(kuò)展、版本、密鑰長(zhǎng)度、類(lèi)型等方面；

RA策略配置管理，包含語(yǔ)言、聯(lián)絡(luò)方法、證書(shū)類(lèi)型、是否公布到LDAP等；

CA策略配置管理，包含證書(shū)DN重用性檢驗(yàn)、CA別名設(shè)置等。（6）日志和審計(jì)功效系統(tǒng)含有完善日志和審計(jì)功效，能夠查看和統(tǒng)計(jì)多種日志，包含：

統(tǒng)計(jì)各CA、RA賬號(hào)證書(shū)頒發(fā)情況；

統(tǒng)計(jì)全部RA和CA操作日志；

對(duì)全部操作人員操作行為進(jìn)行審計(jì)。（7）CA密鑰管理系統(tǒng)支持CA密鑰管理功效，包含：

CA密鑰產(chǎn)生和存放（軟件和硬件）；

CA證書(shū)（包含根CA和子CA）產(chǎn)生和管理；

CA密鑰歸檔和備份。1.6

證書(shū)應(yīng)用開(kāi)發(fā)接口（API）為了實(shí)現(xiàn)基于數(shù)字證書(shū)安全應(yīng)用集成，提供了完整證書(shū)應(yīng)用開(kāi)發(fā)接口（API），提供C、JAVA和COM等多個(gè)接口，包含：

個(gè)人信任代理（PTA）個(gè)人信任代理（PTA）是用戶(hù)端軟件包，既包含安裝在用戶(hù)端文件加密/解密程序，也包含用于數(shù)字署名和署名驗(yàn)證ActiveX控件。文件加/解密模塊能夠產(chǎn)生隨機(jī)數(shù)密鑰對(duì)文件進(jìn)行加密，和使用輸入密鑰對(duì)文件進(jìn)行解密；ActiveX控件由用戶(hù)訪問(wèn)相關(guān)網(wǎng)頁(yè)時(shí)下載到用戶(hù)端瀏覽器中，實(shí)現(xiàn)使用當(dāng)?shù)刈C書(shū)（私鑰）對(duì)文件進(jìn)行數(shù)字署名，和對(duì)署名進(jìn)行驗(yàn)證。

證書(shū)解析模塊（CPM）證書(shū)解析模塊是一系列平臺(tái)下動(dòng)態(tài)鏈接庫(kù)，用于解析DER或PEM編碼X.509數(shù)字證書(shū)，將證書(shū)中信息，包含用戶(hù)信息、證書(shū)使用期、證書(shū)公鑰等信息分解為字符串。

數(shù)據(jù)署名驗(yàn)證模塊（SVM）數(shù)據(jù)署名及驗(yàn)證模塊是一系列平臺(tái)下動(dòng)態(tài)鏈接庫(kù)或插件，能夠應(yīng)用于用戶(hù)端和服務(wù)器端，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)數(shù)字署名，和對(duì)數(shù)字署名及其證書(shū)進(jìn)行驗(yàn)證。證書(shū)驗(yàn)證可使用CRL或OCSP來(lái)進(jìn)行有效性驗(yàn)證。1.7

系統(tǒng)工作步驟設(shè)計(jì)（1）證書(shū)發(fā)放步驟本方案設(shè)計(jì)用戶(hù)CA認(rèn)證系統(tǒng)證書(shū)發(fā)放采取集中發(fā)證方法，即由管理員集中申請(qǐng)好證書(shū)，保留在USBKEY中，發(fā)放給用戶(hù)使用。其工作步驟以下圖所表示：圖4

證書(shū)發(fā)放步驟圖(a)管理員使用瀏覽器，訪問(wèn)用戶(hù)CA認(rèn)證系統(tǒng)，進(jìn)入證書(shū)申請(qǐng)頁(yè)面，替最終用戶(hù)填寫(xiě)證書(shū)申請(qǐng)信息，向用戶(hù)CA認(rèn)證系統(tǒng)提交證書(shū)申請(qǐng)請(qǐng)求。在當(dāng)?shù)兀ó?dāng)?shù)豒SBKEY上）產(chǎn)生證書(shū)公私鑰對(duì)，并將公鑰和用戶(hù)信息一起作為證書(shū)申請(qǐng)請(qǐng)求，提交給CA認(rèn)證系統(tǒng)；(b)CA認(rèn)證系統(tǒng)依據(jù)管理員提交證書(shū)申請(qǐng)請(qǐng)求，同意并簽發(fā)用戶(hù)證書(shū)，將用戶(hù)證書(shū)公布到數(shù)據(jù)庫(kù)中。同時(shí)，將用戶(hù)證書(shū)返回到管理員端，保留到USBKEY中；(c)管理員將申請(qǐng)好證書(shū)USBKEY發(fā)放給最終用戶(hù)。（2）證書(shū)吊銷(xiāo)步驟在用戶(hù)證書(shū)私鑰受到威脅、或用戶(hù)私鑰丟失時(shí)，需要吊銷(xiāo)用戶(hù)證書(shū)，依據(jù)用戶(hù)信息系統(tǒng)應(yīng)用情況，本方案設(shè)計(jì)證書(shū)吊銷(xiāo)由管理員進(jìn)行，其工作步驟以下：(a)管理員在發(fā)覺(jué)用戶(hù)違反使用要求，或用戶(hù)自己向管理員發(fā)送郵件，請(qǐng)求吊銷(xiāo)自己證書(shū)時(shí)，管理員訪問(wèn)CA認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶(hù)證書(shū)吊銷(xiāo)用戶(hù)；(b)管理員經(jīng)過(guò)證書(shū)管理功效頁(yè)面，查詢(xún)到需要吊銷(xiāo)用戶(hù)證書(shū)；(c)管理員選擇吊銷(xiāo)操作，選擇吊銷(xiāo)用戶(hù)證書(shū)原因，向CA認(rèn)證系統(tǒng)發(fā)送證書(shū)吊銷(xiāo)請(qǐng)求；(d)CA認(rèn)證系統(tǒng)依據(jù)管理員證書(shū)吊銷(xiāo)請(qǐng)求，自動(dòng)吊銷(xiāo)用戶(hù)證書(shū)，并將吊銷(xiāo)用戶(hù)證書(shū)公布到證書(shū)吊銷(xiāo)列表中，同時(shí)對(duì)數(shù)據(jù)庫(kù)中保留用戶(hù)證書(shū)最新?tīng)顟B(tài)進(jìn)行更新；(e)CA認(rèn)證系統(tǒng)給管理員返回證書(shū)吊銷(xiāo)成功信息，同時(shí)給用戶(hù)發(fā)送電子郵件，告訴用戶(hù)證書(shū)已經(jīng)被吊銷(xiāo)，不能再使用自己證書(shū)。（3）證書(shū)更新步驟最終用戶(hù)在其證書(shū)立即過(guò)期之前，需要訪問(wèn)CA認(rèn)證系統(tǒng)，更新自己證書(shū)，其步驟為：(a)最終用戶(hù)在證書(shū)立即過(guò)期前（通常為30天），訪問(wèn)用戶(hù)CA認(rèn)證系統(tǒng)，登錄用戶(hù)服務(wù)頁(yè)面，點(diǎn)擊“證書(shū)更新”選項(xiàng)；(b)系統(tǒng)自動(dòng)識(shí)別用戶(hù)是否含有用戶(hù)CA認(rèn)證系統(tǒng)頒發(fā)數(shù)字證書(shū)，而且判定是否過(guò)期，假如立即過(guò)期，便提醒進(jìn)行更新；(c)用戶(hù)選擇需要更新證書(shū)，點(diǎn)擊提交，向CA認(rèn)證系統(tǒng)提交證書(shū)更新請(qǐng)求。在提交證書(shū)更新請(qǐng)求時(shí)，在USBKEY中，重新產(chǎn)生更新證書(shū)公私鑰對(duì)，將公鑰和立即過(guò)期證書(shū)一起，作為證書(shū)更新請(qǐng)求，提交給CA認(rèn)證系統(tǒng)；(d)CA認(rèn)證系統(tǒng)自動(dòng)同意證書(shū)更新請(qǐng)求，自動(dòng)更新用戶(hù)證書(shū)，將更新證書(shū)公布到目錄服務(wù)器，同時(shí)將更新證書(shū)返回到用戶(hù)端，自動(dòng)保留到USBKEY中。1.8

系統(tǒng)性能和特點(diǎn)分析采取iTrusCA系統(tǒng)建設(shè)用戶(hù)CA認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn)：（1）符合國(guó)際和行業(yè)標(biāo)準(zhǔn)系統(tǒng)在設(shè)計(jì)中遵照了對(duì)應(yīng)國(guó)際和工業(yè)標(biāo)準(zhǔn)，包含X.509標(biāo)準(zhǔn)、PKCS系列標(biāo)準(zhǔn)、IETFPKIX工作組制訂PKI相關(guān)RFC標(biāo)準(zhǔn)，和HTTP、SSL、LDAP等互聯(lián)網(wǎng)通訊協(xié)議等。嚴(yán)格遵照這些標(biāo)準(zhǔn)，使得系統(tǒng)含有很好開(kāi)放性，能夠和多種應(yīng)用結(jié)合，成為真正安全基礎(chǔ)設(shè)施。（2）證書(shū)類(lèi)型多樣性及靈活配置系統(tǒng)能夠提供多種證書(shū)簽發(fā)功效，本方案設(shè)計(jì)CA認(rèn)證系統(tǒng)能夠簽發(fā)個(gè)人身份證書(shū)。未來(lái)依據(jù)用戶(hù)需要，能夠進(jìn)行擴(kuò)展，經(jīng)過(guò)靈活配置能夠簽發(fā)企業(yè)證書(shū)、服務(wù)器證書(shū)、代碼署名證書(shū)和VPN證書(shū)等。（3）靈活認(rèn)證體系配置系統(tǒng)采取“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)CA認(rèn)證體系，采取樹(shù)狀結(jié)構(gòu)，支持多級(jí)CA，支持交叉認(rèn)證。（4）注冊(cè)機(jī)關(guān)（RA）建設(shè)方法多樣化本方案設(shè)計(jì)CA認(rèn)證系統(tǒng)采取一個(gè)RA配置，依據(jù)用戶(hù)要求，未來(lái)能夠配置多個(gè)RA和多級(jí)RA，RA界面風(fēng)格可定制。（5）