华科广通数字证书管理系统(SRQ26)是一套用于数字证书申请、审核、签发、注销、更新、查询的综合管理系统,它是行业信息安全建设的基础,致力于构建行业数字身份认证体系,通过分级CA
认证体系,形成分布式、多级的、安全的认证体系结构。
它具有用户申请、申请审核、用户管理、日志查询及密钥管理等功能。它通过支持证书模板,提高了签发各种类型证书的灵活性;通过支持用户模板,可以灵活定制满足不同应用场景的证书;华科数字证书认证系统支持可用密钥的选择和虚拟CA,用户可以在一套系统中采用不同的密钥来签发不同类型的证书;其本身采用多级管理的模式,同时通过使用详细的操作审计、强身份认证及对远程管理采用SSL加密通讯等手段,充分保证系统本身的安全。
通过使用CA发行的数字证书可保证:
身份认证
信息(数据)的保密性
信息(数据)的完整性
信息(数据)的不可否认性
华科广通数字证书管理系统使用国家密码管理局批准的密码卡/密码机,为系统提供RSA密钥对。密码卡/密码机分别提供1024、2048位长的RSA密钥。在客户端,采用国家密码管理局批准的数字证书存储设备如USB KEY,充分保证数字证书的安全可靠。
华科广通数字证书管理系统通过了公安部和国家密码管理局的认证测试,具有《计算机信息系统安全专用产品销售许可证》。同时,系统支持华为3com VPN和Nortel VPN网关设备的X.509数字认证功能。
系统构成
华科数字证书管理系统分布式部署时的组成结构如下:
系统模型
华科广通数字证书管理系统服务器是完全的浏览器/服务器(B/S)结构。用户无需安装任何客户端,只要通过浏览器,便可以跨越不安全的网络,安全地访问应用服务器。
华科广通数字证书管理系统不仅体系结构简洁,还支持各种灵活多样的应用模型。用户可以根据自己的需要选择架设适合自己应用的模型。
功能概要
华科CA除具有签发证书、废弃证书、验证证书、维护证书废弃列表(CRL)以及提供OCSP证书状态信息等基本功能外,还具有维护用户数据库、建立用户组、用户应用接口、Portal应用接口、AD应用接口等功能,支持最新信息技术体系架构和应用。
基于Web方式的证书申请和管理。
SSL服务器证书:华科CA2.0以上版本具有发放SSL站点证书的功能。
CRL:华科CA的服务端口维系证书撤消列表CRL定期发布。
在线证书状态协议(OCSP):实时地检查证书的有效性。
交叉签名:华科CA支持不同认证机构之间的交叉签名和认证。
用户数据库:华科 CA拥有自己的用户数据库,存放每个华科 CA用户的个人信息。在用户数据库中的任何用户都可以生成、管理自己的数字证书。
X.509证书以及扩展域:华科CA服务器签发标准的X.509 v3格式数字证书,多并具种扩展域信息,如预定的组织、基于角色应用的组织单元等。
提供标准的RA服务,通过RA服务为企业提供标准的证书操作流程。
提供用户身份管理审批流程控制,实现身份的全生命周期管理。
证书的存储:华科 CA支持多种证书存储介质,如IC卡、USB等。
侵入锁:华科CA的口令锁功能将把试图猜测用户密码的用户帐号和IP地址加以封锁,来自锁定的IP地址到任意网络连接都是不允许的。
日志管理:华科CA服务器提供了两种详细的访问日志和错误日志。
通过Portal应用接口,在信息门户实现统一认证、授权和单点登录。
使用数字证书,在主机操作系统和数据库层面,实现了统一认证、授权、帐号管理和审计功能应用,实现主机数据库安全防护。
结合桌面管理AD服务,通过数字证书实现计算机桌面系统的域登录,与AD服务自动同步,协调工作。
实现微软outlook express安全电子邮件数字签名和邮件加密功能。
使用数字证书,在OA应用中实现数字签名和数字印章。
实现VPN网关远程访问用户和网站双向认证。