1、CA建設模式介紹隨著2005年4月1日電子簽名法的頒布和實施，以及國家相關部門的 系列執行辦法出臺，PKI/CA有了明確的法律法規和行為準則，同時明確了由一 個什么樣的認證機構頒發出來的數字證書在應用中可以起到法律作用。從上面分 析可以知道，企業信息化建設面對兩個方面的應用，對于這兩個方面應用，在使 用PKI技術提供安全解決方案的時候側重點是不同的，對于CA的建設模式也是 有所區別的。目前主要有兩種不同的PKI/CA建設模式：第三方托管型和自建型。第三方托管型也稱服務型，是指客戶配置一個集成的PKI/CA平臺，依靠第 三方PKI服務提供商提供的PKI/CA服務，在客戶本地建設面向最終用戶的系統

2、 前臺證書注冊中心（RA中心）和對PKI進行遠程管理的CA管理端，直接 利用第三方PKI服務提供商的PKI/CA服務，作為系統的核心后臺證書認證 中心（CA中心），共同為最終用戶提供安全認證服務。采用第三方托管模式， 對于PKI/CA核心后臺的建設（包括安全性、可靠性和穩定性等方面的建設）、 運營管理和系統維護由第三方PKI/CA服務提供商負責，客戶只需要購買第三方 PKI服務提供商的PKI/CA服務，并完成本地部分系統的建設、運營管理和維護。 其中托管型又分兩種部署方式建設：本地RA方式和完全托管。自建型是指客戶購買單獨的PKI/CA軟件，建設一個獨立的PKI/CA系統， 除了購買系統軟件之

3、外，還包括系統、通信、數據庫以及物理安全、網絡安全配 置、高可靠性的冗余系統和災難恢復等方面的建設。對于自建型的PKI/CA系統， 客戶需要考慮系統的后期運營和維護，建立完整的運營管理體系，并負責系統的 日常維護和升級等。客戶可以利用第三方認證中心的運營管理經驗和提供的運營 管理咨詢服務，來建設自己的運營管理體系。可以借助PKI/CA軟件提供商提供 的維護和升級服務，對系統進行日常維護和升級。1自建型和托管型兩種部署模式比較1.1建設內容比較比較項托管模式自建模式法律保護有，采用第三方服 務模式，符合電子 簽名法無，電子簽名法不承認自建模式具有法律 效應建設成本 低，只需建立RA 系統和購買證

4、書高，需要建設整套CA/RA/LDAP軟件系 統、防火墻/入侵檢測/防病毒/等防護體 系，機房物理環境/防火/溫度/濕度/監控等 物理環境等；人員成本低，通常只需要一 個證書管理員就可 以維持正常的證書 業務。高，需要配備安全官員/CA管理員/RA管 理員/網管/保安等/應用系統維護員等整 套人員配置。維護成本低，大量的版本升 級、擴容都由第三 方認證機構提供。高，需要投入系統的后續版本升級、主機 擴容、備份設備擴容等維護等服務成本高，每年需要交納 一定的維護費和證 書費用低，服務由自己提供，沒有證書服務費。運營風險低，按需逐步增加 投資，服務風險已 經轉移高，所有運營風險自己承擔，一次投入大

5、 量運營成本。適用環境電子商務環境 證書量不多雖然證書量大，但 由最終用戶承擔企業用戶量大的內部OA辦公內部分支機構間安全保護；從上表列出的建設內容比較可以總結:從初期建設來看，自建型CA建設需要企業對系統建設、物理場地建設、通 信與網絡建設和系統安全建設等各個方面進行綜合考慮，一套完善的CA認證中 心建設周期至少需要3個月。托管型CA建設只需要考慮部分的建設內容，主要 是涉及RA中心系統和CA管理端部分的建設內容，將不需要對CA中心系統的 建設內容負責，建設周期通常不會超過半個月。從運營維護來看，自建型CA建設需要考慮CA后期運營維護的所有事務， 包括運營管理規范的建設、運營管理團隊的建設、

6、相關資質的準備、系統維護與 升級和客戶服務支持等。而托管型CA建設對于系統的后期運營維護的工作，大 部分可以交給第三方CA認證中心負責，或者依靠第三方CA認證中心提供的規 范的運營管理來加以解決。從后期運營服務和支持來看，企業采用兩種方式部署的PKI/CA對應用的支 持是相同的。但是企業是選擇采用自建型還是選擇托管型來部署PKI/CA時，需 要對供應商的服務支持能力進行考察。服務支持涉及兩個方面，一方面是對部署 的PKI/CA本身的服務支持，另一方面是對應用的服務支持。服務支持包括服務 支持能力、服務支持的內容、服務支持的級別、服務支持的響應時限以及服務支 持的費用等都是企業部署PKI/CA必

7、須綜合考慮的一些方面。1.2投資回報及風險比較從投資回報及風險來看，自建模式有完全的獨立性，建設者完全控制，但需 要完全承擔運營風險，而服務模式運營風險均由第三方認證中心承擔。應該看到，托管模式受法律保護，是一個低成本，低風險，同時又是高可控 的PKI/CA建設模式，較適宜在電子商務或者用戶量不大的環境下部署；托管型 較適宜在企業內部系統且用戶量大的環境下使用。客戶如何選擇建設模式客戶如何權衡兩種建設模式，并選擇采用何種建設模式來建設PKI/CA系統 呢？需要客戶從自身的實際情況和應用情況出發，進行綜合考慮。（1）需要考慮自身的PKI/CA應用范圍第三方托管型CA適用的范圍是：信息傳遞的雙方地

8、位對等，需要獨立的第 三方公正的條件下時使用。例如，企業與企業之間、企業與最終用戶之間、政府 與政府之間和政府與企業之間。自建型CA適用的范圍是：信息傳遞的雙方同屬于一個利益團體，無需其他 組織認可或擔保對方的可信性時使用。例如，企業內部、政府部門內部、統一組 織內部。PKI/CA的信任核心是基于公正第三方的信任，因此，如果建設的PKI/CA系 統是保證企業與外部用戶之間的網上業務的安全時，如渠道分銷管理、網上招標 和網上采購，財務，資金系統應用等，企業必須選擇第三方托管型CA建設模式， 采用公正第三方？2服務提供商提供的CA服務。如果是企業內部的應用，則可 以考慮選擇自建型CA。但是，面對企

9、業內部應用時，也可以選擇第三方托管型 CA，特別是一些全國性的企業或者跨國企業，建設的PKI/CA需要提供全國信任 體系或全球信任體系證書時，必須選擇第三方托管型CA，因為自建型CA 只能提 供企業私有信任體系的證書。（2）需要考慮自身應用的安全級別應用的安全級別直接影響PKI/CA系統建設的安全級別，因為應用的安全是 基于PKI/CA提供的安全認證服務來保障的，而PKI/CA系統建設的安全級別主要 體現在企業對PKI/CA系統風險防范級別上，對于風險防范的級別越高，企業需 要考慮的安全性建設方面的內容會越多，企業投入的成本也越高。如果應用的安全級別高，企業需要建設高安全的PKI/CA系統企業

10、可以選擇 第三方托管型CA，并考察在安全性方面進行了周密考慮和建設的第三方PKI服 務提供商；企業也可以選擇自建型CA，但是在進行自建型CA建設時，企業需要 對PKI/CA的安全性建設進行周密考慮，特別在物理安全環境建設、網絡安全環 境建設和運營管理體系建設方面。如果應用的安全級別不高，企業可以選擇自建型CA，適當的考慮系統的安 全性建設，滿足基本的安全要求即可。（3）需要考慮投入與回報采用每種建設模式，都需要企業投入成本，回報是指建設的PKI/CA系統能 夠為企業帶來什么，特別是安全性方面是否滿足企業的需求。企業需要綜合分析 每種模式所需要的成本投入以及回報，進行衡量和選擇。2托管型兩種部署

11、方式說明及特點本地RA模式:指客戶采用第三方CA提供的數字證書簽發服務，即CA體系的核心部證書簽發工作，由第三方CA完成，證書的認證體系由第三方CA公司擁有，客戶本地建設面向最終用戶的系統前臺一 證書注冊中心（RA中心），企業在本地建設本地RA服務器（WEB方 式）來接收本地用戶的證書申請以及其他證書生命周期管理請求。本地 RA服務器是通過部署在天威誠信后臺的PORTAL代理服務器來完成用 戶請求信息與后臺RA服務器的通信；通過企業委派的CA管理員使用數字證書（以USB KEY為證書介質） 登錄到天威誠信后臺為企業提供的RA控制中心來實現證書審批和管理 功能，并負責對證書申請的鑒別、驗證和證書分發工作。特點是：管理靈活、可進行本地CRL下載、可進行本地證書狀態驗證， RA數據庫在本地，在證書發放上可實現同用戶數據庫關聯，進行自動 發放，可以靈活定義證書模板。需要在客戶本地部署RA系統有一定的工作周期，且有一定