(接上期)
(三)CA的主要职责及其政策
CA的几种主要职责包括:颁发证书、管理证书、用户管理、吊销证书、验证申请者身份、保护证书服务器和制定政策等。
CA必须对信任它的各方负责,它的责任大部分体现在政策的制定和实施上。CA的政策包含以下几个部分:
(1)CA私钥的保护:CA签发证书所用的私钥要受到严格的保护,不能被毁坏,也不能非法使用。
(2)证书申请时密钥对的产生方式:提交申请时,要决定密钥对的生成方式。生成密钥对有两种办法:一是在CLIENT端生成,另一种是在CA的SERVER端生成。究竟采用哪一种申请方式,还要取决于CA的政策。请用户在申请证书之前仔细阅读CA这方面的政策。
(3)对用户私钥的保护:根据用户密钥对的产生方式,CA在某些情况下有保护用户私钥的责任。
(4)产生CRL:CA的管理员可以设定一个时间间隔,系统会按时生成CRL(被吊销的证书列表)。
(5)证书吊销:如用户向CA请求吊销证书,CA根据自己的政策认为有必要吊销某个证书,那么CA的特权用户在接到有关指令后便可实施吊销操作。
(6)通知服务:对于用户的申请和证书过期、吊销等有关事宜的回复。
(7)保护CA服务器:必须采取必要的措施以保证CA服务器的安全。您必须保证该主机不被任何人直接访问,当然CA使用的http服务端口除外。
(8)审计与日志检查:为了安全起见,CA对一些重要的操作就记入系统日志。在CA发生事故后,要根据系统日志做事后追踪处理,即审计。CA管理员须定期检查日志文件,尽早发现可能出现的隐患。
目前,公钥架构(PKI)市场虽仍处于起步阶段,但已迅速成为VPN、电子商务等进行远程访问和认证的关键技术,随着越来越多的企业开展这些需要安全保障的应用,且这些应用在企业事务中的地位越来越重要,这就使得PKI的重要性与日俱增。PKI被认为是最重要的安全基础,很多用户对此还缺乏必要了解,而其本身所存在的一些问题,诸如标准问题、应用的复杂性及高消耗等都在很大程度上限制了其发展速度。
目前PKI用户主要是自行搭建PKI系统,或者委托给其他的服务提供商;但随着市场的发展,用户将会拥有越来越多、越来越广的选择。
 |
