一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构(Certification Authority,CA)在PKI系统中居于核心地位。
国内分类
第一类是行业性的CA
中国金融认证中心(CFCA)
海关CA
商务部CA(国富安CA)
以上CA是由相应行业的主管部门牵头建立的
第二类是地方性CA
北京CA
上海CA
浙江CA
这些CA是由当地地方政府牵头建立的
第三类CA是商业性CA
天威诚信CA
这类CA进行商业化经营,并不从属于任何行业或地域,但它们也必须具有良好的公信力,必须由国家主管部门审批通过才能投入运营,以确保其权威、公正性
组成部分
CA服务器:这是CA的核心,是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务
证书下载中心:该中心连接在互联网上,用户通过登录CA网站访问证书下载中心,CA服务器生成的证书通过证书下载中心供用户下载。
目录服务器:它的功能是提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。业者有时把它称为”LDAP”,这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。
OCSP服务器:该服务器向用户提供证书在线状态的查询
密钥管理中心(KMC):根据国家密码管理规定,加密用私钥必须由权威、可靠的机构进行备份和保管。CFCA被授权建立KMC,以备份和保管用户的加密密钥。
证书注册机构(Registration Authority,RA):它负责受理证书的申请和审核,其主要功能是接受客户证书申请并进行审核。 RA主要是远程的,CFCA的RA部署在各家用户银行、税务机关、或企业所在地。因为,这样一方面便于进行客户资料的审查,另一方面也便于银行将证书与客户的帐号进行绑定,以实现认证。但即使RA部署在远程所在地,这些RA也仍然是CA的组成部分。