需求描述

目前現(xiàn)有CA系統(tǒng)可以完成基本的證書申請(qǐng)和簽發(fā)流程，但沒(méi)按規(guī)范設(shè)計(jì)，功能欠缺和模塊劃分不符合要求，現(xiàn)請(qǐng)根據(jù)《GM T 0034-2014 基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》重新劃分功能模塊，現(xiàn)有已做好的功能保留，對(duì)CA系統(tǒng)如下調(diào)整及補(bǔ)充：

1、 在現(xiàn)有CA系統(tǒng)基礎(chǔ)上，將系統(tǒng)分成RA（證書注冊(cè)機(jī)構(gòu)）、CA（證書認(rèn)證機(jī)構(gòu)）、OCSP系統(tǒng)（待完善）和CRL查詢系統(tǒng)（缺少） ，其中RA包含用戶注冊(cè)管理系統(tǒng)（分本地和遠(yuǎn)程系統(tǒng)）、證書管理系統(tǒng)和安全管理系統(tǒng)，負(fù)責(zé)受理數(shù)字證書的申請(qǐng)、更新、恢復(fù)和注銷等證書的全生命周期業(yè)務(wù)，RA接口（針對(duì)通過(guò)接口提交CSR的情況）請(qǐng)求需要有IP授權(quán)控制；
（本地）用戶注冊(cè)管理系統(tǒng)部署在內(nèi)網(wǎng)（可以和證書管理系統(tǒng)合在一起），由RA操作員負(fù)責(zé)用戶證書/CRL的申請(qǐng)、審核以及證書的制作，其主要功能如下：
-用戶信息的錄入：錄入用戶的申請(qǐng)信息，用戶申請(qǐng)信息包括簽發(fā)證書所需要的信息，還包括用于驗(yàn)證用戶身份的信息，這些信息存放在用戶注冊(cè)管理系統(tǒng)的數(shù)據(jù)庫(kù)中。用戶注冊(cè)管理系統(tǒng)EXCEL文件格式批量導(dǎo)入的用戶信息。
用戶信息的審核：提取用戶的申請(qǐng)信息，審核用戶的真實(shí)身份，當(dāng)審核通過(guò)后，將證書CSR提交給CA簽發(fā)系統(tǒng)。
用戶證書下載：簽名密鑰對(duì)由UKEY生成，系統(tǒng)不保存用戶簽名私鑰；系統(tǒng)默認(rèn)生成雙證書（缺少），即生成簽名證書和加密證書，雙證書都下載到UKEY。
-安全審計(jì)：負(fù)責(zé)對(duì)用戶注冊(cè)管理系統(tǒng)的管理人員、操作人員的操作日志進(jìn)行查詢、統(tǒng)計(jì)以及報(bào)
遠(yuǎn)程用戶注冊(cè)管理系統(tǒng)部署在外網(wǎng)，負(fù)責(zé)對(duì)外開(kāi)放用戶注冊(cè)，用戶可以自行提交CSR申請(qǐng)到RA，由RA操作員審核后推送到CA簽發(fā)，支持從RA數(shù)據(jù)庫(kù)或從目錄服務(wù)器下載證書進(jìn)UKEY里；
證書管理系統(tǒng)是證書認(rèn)證系統(tǒng)中實(shí)現(xiàn)對(duì)證書/證書撤銷列表的申請(qǐng)、審核（提供人工審核和自動(dòng)審核兩種模式）、生成、簽發(fā)、存儲(chǔ)、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)；
CA由證書/CRL生成與簽發(fā)系統(tǒng)、證書/CRL存儲(chǔ)發(fā)布系統(tǒng)構(gòu)成，負(fù)責(zé)對(duì)RA提交的CSR和CRL進(jìn)行簽發(fā)和生成證書/CRL（提供人工審核和自動(dòng)審核兩種模式，并支持多級(jí)CA簽發(fā)）,系統(tǒng)默認(rèn)生成雙證書，其中加密證書的密鑰對(duì)暫時(shí)由CA應(yīng)用軟件生成，證書默認(rèn)保存在數(shù)據(jù)庫(kù)并同步返回給RA；存儲(chǔ)發(fā)布系統(tǒng)負(fù)責(zé)證書/CRL文件的備份和還原（缺少）和打包下載，并支持將證書/CRL文件發(fā)布至主目錄服務(wù)器（LDAP）和從目錄服務(wù)器（缺少），CRL支持手工和自動(dòng)發(fā)布模式（缺少）；CA要支持對(duì)RA進(jìn)行IP授權(quán)訪問(wèn)（缺少）。