学校ca系统是什么?
CA是认证机构(Certificate Authority)的简称,是一个由可信第三方认证的实体。在互联网上,所有用户对任何其它用户的访问都可以通过证书来验证它的真实身份。 简单来说就是网上公证人,它负责证书的颁发和验证,并负责证书发放后可能的纠纷,是互联网安全的核心之一。
目前常用的网络服务基本上都有ca认证机制,例如mail(邮箱)需要用户拥有邮件服务商提供给你的ca证书才能顺利登录;而ftp、web服务等则是通过客户端/服务器形式的certificate授权实现,通常是由操作系统提供已经签署好的root证书给应用程序使用。
当然这个机制并不是完全可靠,由于ca本身有可能被攻击或被操纵,因此就需要数字签名等辅助机制来确保证书的正确性。一个完整的ca认证工作过程如下: 从上述过程可以看到,如果攻击者得到了其中任一环节的控制权就可以取得对整个认证过程的干涉权,进而得到他不希望看到的结果,比如让某个本来不该知道密码的用户获取到该密码,或者让系统授予某个不明来历的身份以最高权限。
所以,如何保证ca系统的自身安全和数据完整是首先需要注意的问题。为了防止本地机器被劫持而导致的认证过程失败,很多服务都采用了远程认证的方式,即通过远程服务器来确认请求者的身份,这时就需要考虑远程服务器遭受攻击时可能对系统造成的影响了;还有一些方案是通过硬件安全芯片来提升认证过程的安全,这也是值得注意的地方。
巴昕优质答主RA中心接受用户的证书申请请求,验证用户的身份,再将通过审核的用户信息提交给CA,同时,CA把数字证书及用户的公钥发布到PKI应用系统中,用户在各个应用系统中都可以获得数字证书提供的安全服务。
用户工作站可以运行浏览器软件或其它应用程序,需要申请证书时向RA中心提出请求,获得证书以后就可以在PKI应用系统中运行。CA/RA系统支持Windows、Unix、Linux、MAC等操作系统和IE浏览器。
CA的主要功能
◆证书签发
能够支持手工审核签发和自动审核签发功能。支持支持多密钥对(在用户管理中设置密码策略时选“支持多私钥”)。
手工审核签发支持在审核签发时分配用户使用的密钥对,可以是用户在申请时提供的密钥对或者CA随机生成的密钥对。
自动审核签发支持按照申请人的申请请求直接签发。
◆证书更新
支持证书持有者向CA自主更新证书。证书持有者可以按照自己的意愿申请更新证书,但是无权修改证书的原有属性,而只能使用原证书的属性信息来申请新证书。
支持在用户申请更新证书时改变原有密码。
◆证书废除
支持撤销、扣留和恢复三种操作方式。支持吊销列表的自动和手工发布管理。
支持RA将用户证书标记为"待吊销"状态,等待CA确认后吊销的功能。
支持批量吊销功能,允许RA管理员将已进入"待吊销"状态的证书一次性吊销。
支持按时间段吊销,选择吊销列表的时间段进行吊销操作,支持废除证书原因的说明和查询,支持废除证书信息的报表输出。
支持证书废除前的密钥恢复功能,在CA完成废除证书操作前,具备有效证书恢复申请凭证的CA操作员可以进行密钥恢复申请。完成密钥恢复操作后,按原有规则自动废除原有证书、签发新证书。
