CA中心,又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。当然CA中心还需要 配套的RA(Registration Authority --注册审批机构)系统。 下面我们就分别介绍中心以及注册中心:
  一,认证中心
认证中心(CA)可按照一定的信任模型来组织,通常组织成层状模型。各级CA认证机构的存在组成了整个网上信息交流的信任链。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根证书中心(根CA),即一个CA可用来证明另外一个CA的合法性,而且对于某些CA,这也是它们的唯一任务。这种认证体系将证书分层,各证书都有上级CA的数字签名。
1,认证中心的组成
(1)签名和加密服务器   对于数字证书,应该有认证机构的数字签名,对于被撤消的数字证书,也应有该认证机构的数字签名。签名和加密服务器就是用来接收来自证书管理服务器的申请,按规则对待签名证书和待签名的CRL进行数字签名,并进行证书管理服务器的加密/解密运算
(2)密钥管理服务器     密钥管理服务器与签名和加密服务器连接,按配置生成密钥、撤消密钥、恢复密钥和查询密钥
(3)证书管理服务器      主要完成证书的生成、作废等操作控制。维护证书库,作废证书库、证书状态库等有关数据库。证书管理服务器是对证书的生成、作废等操作实现的核心。
(4)证书发布和CRL服务器 证书发布服务器用于将证书信息按一定的时间间隔对外发布,可通过web server和LDAP实现,Server为客户提供证书下载和CRL下载等服务。
(5)在线证书状态查询服务器  证书用户随时都想知道某个证书的最新状态,这是由在线证书状态查询服务器提供的实时查询证书状态的服务服务来完成的。
(6)WEB服务器 用于证书的发布和有关数据认证系统政策的发布。
2,认证中心功能的实现
(1)证书发放  通过注册中心的初始身份认证后,注册中心将用户申请提交认证中心,认证中心根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置个字段,并采取不同的方法将证书返回给用户(如用电子邮件形式)
(2)证书更新  这个包含两个方面,一是用户证书已经过期或者与证书相关的密钥到了他有效生命终点,或者证书中一些属性已经改变,这都需要更新用户的证书。二是CA本身的证书也存在以上的问题,所以CA根证书也是需要更新的.
(3)证书注销  在某种情况下,证书的有效性要求在证书结束日期之前终止或者要求拥护与私钥分离时,证书要被撤消。例如签署者状态发生改变,证书中信息可能已经修改,与用户相关的私钥可能以某种方式泄露。大多数情况下,CA用来公布已更改的证书状态机制是一个证书撤消列表(CRL)。CRL包括已被撤消证书的序列号和撤消日期,还有标志撤消原因的状态。
(4)证书验证   它包括如下几个内容,一是证书是否包含一个有效的数字签名,以此证明证书内容没被修改。二是颁发者的公开密钥是否可以验证证书上的数字签名,以确认数据是否来源于真正的数据发送方。三是当前使用的证书是否在证书的有效期内。四是证书是否用于最初分发它的目的。五是检查证书撤消列表CRL,验证证书是否被撤消。

  二, 注册中心
注册中心是数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸,它负责证书申请者的信息录入,审核等工作;同时,对发放的证书完成相应的管理功能,一般来说,注册机构控制注册、证书传递、其他密钥和证书生命周期管理过程中主体、最终实体和PKI间的交换,然而任何环境下RA都不真正发起关于主体的可信声明。
1,RA的功能
(1)   主体注册证书的个人认证
(2)   确认主体所提供的信息的有效性
(3) 对被请求证书属性确定主体的权利
(4) 确认主体确实拥有注册的私钥
(5) 在需要撤消时报告密钥泄露或终止事件
(6) 为识别身份的目的分配名字
(7) 在注册初始化和证书获得阶段产生共享秘密
(8) 产生公/私密钥对
 (9) 认证机构代表最终实体开始注册过程
(10) 私钥的归档
(11) 开始密钥恢复处理
(12)包含私钥的物理环网(例如智能卡)的分发
2,基于WEB浏览器的简单注册操作过程
(1) 访问一个URL,得到一个Web页面,它提供输入表单来让申请者指定注册信息
(2) 页面上某处有一个程序用来生成公/私钥对,通常出现一个输入字段,让申请者选择密钥长度 (3) 输入完信息后提交表单,系统自动构造素数,使浏览器开始生成密钥对。
(4) 密钥对生成以后,私钥存储在一个本地应用密钥存储区内,如果是第一次构造密钥存储区,通常还会提示申请者输入口令,使用该口令构造一个加密或解密密钥存储区的对称密钥
(5) 当密钥产生完毕,公开密钥就与填入注册表单中的信息一起发送给注册机构的Web服务器接口。在有些情况下,申请者此时必须证明其拥有私有密钥,这可以通过对注册申请进行数字签名来证明,RA接收到申请时对签名进行验证。
(6) 注册机构检查申请信息并且开始验证用户提供的身份信息。
(7) 当证书服务器接收到RA的申请后,它根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置各字段。
(8) 生成的证书返回给用户,用何种方式返回根据CA的具体实现和CPS需求的不同而不同。
(9) 当用户单击URL时,证书被下载到浏览器
(10) 当浏览器发现证书加载操作时,它将返回的证书和先前生成的私钥一起存储到密钥存储区。

参考文献:《PKI原理与技术》, 谢冬青 冷健 编著  清华大学出版社