需求描述

目前現(xiàn)有CA系統(tǒng)可以完成基本的證書(shū)申請(qǐng)和簽發(fā)流程，但沒(méi)按規(guī)范設(shè)計(jì)，功能欠缺和模塊劃分不符合要求，現(xiàn)請(qǐng)根據(jù)《GM T 0034-2014 基于SM2密碼算法的證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》重新劃分功能模塊，現(xiàn)有已做好的功能保留，對(duì)CA系統(tǒng)如下調(diào)整及補(bǔ)充：

1、 在現(xiàn)有CA系統(tǒng)基礎(chǔ)上，將系統(tǒng)分成RA（證書(shū)注冊(cè)機(jī)構(gòu)）、CA（證書(shū)認(rèn)證機(jī)構(gòu)）、OCSP系統(tǒng)（待完善）和CRL查詢系統(tǒng)（缺少） ，其中RA包含用戶注冊(cè)管理系統(tǒng)（分本地和遠(yuǎn)程系統(tǒng)）、證書(shū)管理系統(tǒng)和安全管理系統(tǒng)，負(fù)責(zé)受理數(shù)字證書(shū)的申請(qǐng)、更新、恢復(fù)和注銷(xiāo)等證書(shū)的全生命周期業(yè)務(wù)，RA接口（針對(duì)通過(guò)接口提交CSR的情況）請(qǐng)求需要有IP授權(quán)控制；
（本地）用戶注冊(cè)管理系統(tǒng)部署在內(nèi)網(wǎng)（可以和證書(shū)管理系統(tǒng)合在一起），由RA操作員負(fù)責(zé)用戶證書(shū)/CRL的申請(qǐng)、審核以及證書(shū)的制作，其主要功能如下：
-用戶信息的錄入：錄入用戶的申請(qǐng)信息，用戶申請(qǐng)信息包括簽發(fā)證書(shū)所需要的信息，還包括用于驗(yàn)證用戶身份的信息，這些信息存放在用戶注冊(cè)管理系統(tǒng)的數(shù)據(jù)庫(kù)中。用戶注冊(cè)管理系統(tǒng)EXCEL文件格式批量導(dǎo)入的用戶信息。
用戶信息的審核：提取用戶的申請(qǐng)信息，審核用戶的真實(shí)身份，當(dāng)審核通過(guò)后，將證書(shū)CSR提交給CA簽發(fā)系統(tǒng)。
用戶證書(shū)下載：簽名密鑰對(duì)由UKEY生成，系統(tǒng)不保存用戶簽名私鑰；系統(tǒng)默認(rèn)生成雙證書(shū)（缺少），即生成簽名證書(shū)和加密證書(shū)，雙證書(shū)都下載到UKEY。
-安全審計(jì)：負(fù)責(zé)對(duì)用戶注冊(cè)管理系統(tǒng)的管理人員、操作人員的操作日志進(jìn)行查詢、統(tǒng)計(jì)以及報(bào)
遠(yuǎn)程用戶注冊(cè)管理系統(tǒng)部署在外網(wǎng)，負(fù)責(zé)對(duì)外開(kāi)放用戶注冊(cè)，用戶可以自行提交CSR申請(qǐng)到RA，由RA操作員審核后推送到CA簽發(fā)，支持從RA數(shù)據(jù)庫(kù)或從目錄服務(wù)器下載證書(shū)進(jìn)UKEY里；
證書(shū)管理系統(tǒng)是證書(shū)認(rèn)證系統(tǒng)中實(shí)現(xiàn)對(duì)證書(shū)/證書(shū)撤銷(xiāo)列表的申請(qǐng)、審核（提供人工審核和自動(dòng)審核兩種模式）、生成、簽發(fā)、存儲(chǔ)、發(fā)布、注銷(xiāo)、歸檔等功能的管理控制系統(tǒng)；
CA由證書(shū)/CRL生成與簽發(fā)系統(tǒng)、證書(shū)/CRL存儲(chǔ)發(fā)布系統(tǒng)構(gòu)成，負(fù)責(zé)對(duì)RA提交的CSR和CRL進(jìn)行簽發(fā)和生成證書(shū)/CRL（提供人工審核和自動(dòng)審核兩種模式，并支持多級(jí)CA簽發(fā)）,系統(tǒng)默認(rèn)生成雙證書(shū)，其中加密證書(shū)的密鑰對(duì)暫時(shí)由CA應(yīng)用軟件生成，證書(shū)默認(rèn)保存在數(shù)據(jù)庫(kù)并同步返回給RA；存儲(chǔ)發(fā)布系統(tǒng)負(fù)責(zé)證書(shū)/CRL文件的備份和還原（缺少）和打包下載，并支持將證書(shū)/CRL文件發(fā)布至主目錄服務(wù)器（LDAP）和從目錄服務(wù)器（缺少），CRL支持手工和自動(dòng)發(fā)布模式（缺少）；CA要支持對(duì)RA進(jìn)行IP授權(quán)訪問(wèn)（缺少）。

2、 RA和CA需要采用UKEY登錄模式（缺少），可照搬簽名服務(wù)器的UKEY登錄代碼進(jìn)來(lái)。
3、 RA和CA都缺少數(shù)據(jù)庫(kù)的備份和還原功能，系統(tǒng)的操作日志要求有導(dǎo)出備份功能。
4、 證書(shū)CRL查詢系統(tǒng)（缺少）。
5、 OCSP系統(tǒng)請(qǐng)按規(guī)范的要求進(jìn)行完善設(shè)計(jì)，之前的設(shè)計(jì)只具體一個(gè)簡(jiǎn)單的查詢功能（詳細(xì)看規(guī)范P9-P10）。
6、 CA系統(tǒng)的初始化需按照規(guī)范P16-P17的要求完善。
7、 缺少SSL證書(shū)功能。
系統(tǒng)各子系統(tǒng)的詳細(xì)功能和操作流程請(qǐng)?jiān)敿?xì)看規(guī)范要求。