企業級CA系統（ETCA）是時代億信在充分研究國內CA現狀、結合PKI實際應用需求的基礎上，獨立研發的一套CA產品。

    企業級CA系統采用國家密碼局批準的國密算法，可掛接密鑰管理中心（KMC）來管理用戶密鑰，提高用戶密鑰的安全性和可恢復性。系統也支持國際通用的對稱算法和非對稱算法，符合PKI/CA標準，密碼長度支持RSA512、1024、2048位，SM2 256位。系統遵循X.509V3證書及相關標準，能直接嵌入到現有環境中，實現與現有資源的整合。同時，系統支持多種硬件加密設備，提高了密鑰簽發的安全性。

    ETCA采用B/S架構，實現基于Web方式的數字證書申請、審核、下載制作和作廢功能，同時支持多種存儲介質，為基于數字證書的企業級安全應用提供便捷、高效的支持，是實現各種安全應用的重要基礎設施，通過部署該系統，可以搭建出符合政府、行業、第三方、企業需求的認證中心。

產品組成：

· 認證中心（CAServer）
    CAServer是時代億信數字證書認證系統的核心，負責所有證書的簽發、注銷以及證書注銷列表的簽發等管理功能。

· 注冊中心（RAServer）
    RA Server是時代億信數字證書注冊審批系統，是CA Server的證書發放、管理等業務的延伸。它負責所有證書申請者的信息錄入、審核等工作，同時對發放的證書進行管理。

· 密鑰管理中心（KMServer）
    KM Server是時代億信密鑰管理系統，為CA Server提供用戶加密密鑰的生成及管理服務。系統支持符合PKCS#11標準的加密設備，支持高強度的密鑰及加密算法。通過PKCS#11接口直接調用硬件密碼服務，密鑰不出主機加密服務器，擁有高強度的安全性和保密性。

· 在線證書狀態查詢系統（OCSPServer）
    OCSP Server是時代億信在線證書狀態查詢系統，為證書應用提供實時的證書狀態查詢服務。OCSP Server系統wq遵照RFC2560標準實現，保證了標準性，任何符合RFC2560的產品都可以方便的連接OCSP Server進行證書狀態查詢。

    OCSP Serve通過CA的鏡像數據庫查詢證書狀態，這樣比查詢CRL（證書注銷列表）更可靠、更及時，提供給證書應用的信息更豐富。

    OCSP Server支持為多個不同的CA系統向用戶提供統一的數字證書狀態驗證服務，證書應用向OCSP Server查詢證書狀態時，可以查詢不同CA頒發的證書狀態。

    OCSP Toolkit封裝證書應用的證書狀態查詢請求，然后發送給OCSP Server，并將從OCSP Server響應中解析的證書狀態，返回給證書應用。OCSP Toolkit為證書應用提供簡單、易用的用戶接口。減輕了證書應用開發者的工作量。

遵循標準：
· 數字證書格式遵循的標準
GB/T 20518-2006 信息安全技術 公鑰基礎設施 數字證書格式
ITU-T X.509 V3（數字證書）
ITU-T X.509 V2（CRL）
證書注銷表和證書注銷表擴展，符合 IETF PKIX－1概況表技術規范
證書注銷表和證書注銷表擴展，符合 IETF PKIX－1概況表技術規范
RSA 算法標識符和公開密鑰格式，符合PEM 和 PKCS #1 V2.0
基于因特網 RFC 1421 (PEM) 的標準文件包封格式
安全文件包封技術，符合 PKCS#7和S/MIME

· 數字證書應用接口遵循的標準
公鑰密碼基礎設施應用技術體系 證書應用綜合服務接口規范
公鑰密碼基礎設施應用技術體系 框架規范
公鑰密碼基礎設施應用技術體系 密碼設備應用接口規范
公鑰密碼基礎設施應用技術體系 通用密碼服務接口規范
智能IC卡及智能密碼鑰匙密碼應用接口規范
CSP規范
PKCS#11規范

· 支持的密碼算法
公鑰密碼算法：RSA、SM2。其中RSA密鑰長度1024/2048/4096比特可選。SM2支持256比特；
哈希函數算法：支持SHA1、SHA256、SM3；
對稱密碼算法：SSF33、SM1、DES、3DES、AES等。

· LDAP目錄協議
支持輕量型目錄協議第三版 (LDAPv3),具體如下：
RFC 2251：輕型目錄服務訪問協議
RFC 2252：屬性語法定義
RFC 2253：分辨名的UTF-8字符串表示
RFC 2254：查詢過濾器的字符串表示
RFC 2255：LDAP URL格式
RFC 2256：X.500用戶Schema匯總
RFC 2829：LDAP認證方法
RFC 2830：傳輸層安全（TLS）擴展
OCSP協議：RFC2560

CA 服務系統產品功能
· CA服務：
    支持國家密碼管理局規定的相關算法，CA接受來自RA的業務請求，提供證書的簽發和管理功能，代表用戶向密鑰管理中心發出密鑰產生、恢復請求；為用戶簽發用戶證書。證書簽發中心系統與密鑰管理系統間通訊采用通訊證書來保證安全性。通訊證書是證書簽發中心與密鑰管理中心、上級和下級認證機構進行通訊時使用的計算機設備證書。

· RA服務：
    RAR服務支持SUN Solaris、IBM AIX、HP-UNIX、LINUX、SCO UNIX以及各種WINDOWS等操作系統平臺，方案設計采用LINUX操作系統，是ETCA為用戶服務的對外窗口，為用戶提供證書申請、下載、注銷、更新等各項業務的服務，系統支持國家密碼管理局規定的相關算法。

RA總體的功能如下：
（1）進行用戶身份信息的審核，確保其真實性；
（2）本區域用戶身份信息管理和維護；
（3）數字證書的簽發和管理。

· KMC服務：
    主要負責密鑰的管理，包括密鑰的產生、分發、更新、備份/恢復、歸檔、銷毀等的管理。KMC中密鑰的產生采用國家密碼管理局規定的主機加密服務器來完成。同時，由于KMC需要與證書簽發中心的進行通信，在通信的過程中應該是安全的，因此KMC采用了SPKM安全通信協議與證書簽發中心進行數據通信。

    KMC要為多個證書簽發中心產生用戶加密密鑰，滿足CA簽發用戶加密證書的需要。通過在線的方式滿足CA對密鑰的需求，實時響應各CA提取密鑰對的請求。KMC的設計遵循國家密碼管理局《密鑰管理中心基礎設施建設意見指導書》中密鑰管理系統設計的要求。

· 證書發布服務：
    基于目錄服務系統對外發布證書服務，對外發布證書信息，證書撤消列表CRL，為應用系統提供在線的查詢服務。ETCA證書服務系統支持國內外主流的各種目錄服務產品，包括IBM Tivoli Directory Server、Novell Directory Server、OPEN LDAP軟件、iPlanet Directory Server、微軟AD系統等，可以在線向目錄服務系統發布數據信息。

CA 服務系統產品規格
密鑰長度支持1024、2048、4096位RSA密鑰
支持國密局規定的相關算法
可管理1萬張以上證書
簽發證書：不低于1000張/小時
{zd0}簽發性能不低于10張/秒
可管理1萬對以上密鑰
產生密鑰：不低于1000對/小時
單次請求處理時間（用戶管理、證書管理等功能）<0.3秒
每小時查詢處理能力：20000次/小時
單個查詢應答時間：小于0.5秒。

CA 服務系統產品方案
數字證書認證服務系統能為您解決哪些問題？

數字證書認證服務系統 為您解決以下問題：
· 解決日益增強的互聯網上信息的交互的風險性；

· 自建企業級 CA ，獨立管理企業的 CA 系統，免去紛雜的經費問題；

· 符合 Windows 的標準操作，操作簡單；

· 很好的嵌入企業現有環境，實施時間短；

    近年來，計算機網絡和信息技術的迅速發展使得企業信息化的程度不斷提高，互聯網上信息的交互必然存在風險，黑客、病毒、木馬程序、“網絡釣魚”頻頻得逞。而這些受到威脅的網站或遭受損失的用戶，除自身的安全防范意識薄弱造成安全隱患外，最重要的一點就是都沒有使用互聯網上信息安全保障措施 ---- 基于 PKI 技術的 CA 服務系統。

如何選擇數字證書認證服務系統？
    選擇適合自身業務和網絡需求的認證產品，并綜合考慮產品的性能、特點和整體投資，是企事業高層決策的根本出發點。有以下幾點是用戶在選擇 CA 產品時都必須考慮的問題。

· 技術的先進性：
    數字證書的格式必須遵循 X.509 國際標準，使用數字證書并利用數字信封、數字簽名等非對稱密鑰加密技術，可以實現對用戶身份的認證以及網上信息傳送的保密性、完整性、真實性和不可否認性。

· 可擴展性：
    CA 系統開放程度直接影響到系統的生命周期。

    北京時代億信數字證書認證服務系統 (ETCA) 是公司在充分研究國內 CA 應用現狀，結合 PKI 實際應用需求的基礎上，獨立研發的一套 CA 產品。

產品功能
    時代億信數字證書認證服務系統（ ETCA ）可以為企業迅速建立擁有自己的 CA 系統，為企業級安全應用提供數字證書。其主要功能如下：

· CA 策略管理
    管理員可以指定 CA 管理策略，包括：根證書、個人證書、企業證書、服務器證書的密鑰長度、有效期、是否備份等策略。

· 自定義根 CA （初始化）
    管理員在系統初始化時，可根據需要，自己指定根 CA 的名稱，并填寫相關的信息。

· 證書申請、批量申請
    可以在線申請個人、企業、服務器三類證書，并支持個人證書的批量申請。

· 密鑰產生和證書簽發
    證書服務器支持軟件和硬件產生密鑰對，并簽發證書請求，生成證書。

· 證書下載和 SecureKey 制作
    管理員可以通過 Web 方式直接查詢下載用戶證書和私鑰，并由系統自動將用戶證書和私鑰灌制到 USB 接口的 SecureKey 中。

· 證書信息導出
    管理員可以將指定范圍的用戶證書信息導出到文件中，以備其它系統使用。

· 證書業務統計
    管理員可以對某個時間段內證書的發放情況進行統計。

· 證書定制
    可靈活定制，可以按照以月為單位。

產品組成
    數字證書認證服務系統由證書受理系統，數據庫和 RA 服務器以及 CA 服務器， USB 智能卡組成，管理員通過 USB 智能卡登錄證書受理系統，完成用戶對證書申請信息的管理，并將用戶信息存入數據庫，由 RA 服務器對用戶申請信息驗證通過后提交給 CA 服務器， CA 服務器在接收到 RA 服務證書請求后，產生數字證書和密鑰并且對證書簽名，然后提交給 RA 服務器，由 RA 服務器把證書存入數據庫中，證書受理系統會查詢提取頒發的證書并且灌制到指定的密鑰智能卡中。

ETCA 服務系統邏輯圖
· 證書受理系統
    提供 WEB 方式的證書申請、證書管理（審核、下載、作廢）、存儲介質管理等功能。

· 數據庫
    數據庫主要完成存儲用戶的證書申請信息，和已經簽發的證書信息。

· RA 服務器
    RA 服務器主要頒發用戶證書和證書撤銷列表（ CRL ），并且接收用戶證書申請，并提交到 CA 服務器。

· CA 服務器
    CA 服務器主要的作用是產生密鑰對和簽發數字證書。

產品特點
    時代億信數字證書認證服務系統（ ETCA ）具有流程簡捷高效，易于管理，可定制，易于與具體應用系統相結合。靈活配置、方便易用的 CA 認證系統軟件，提供多重策略支持。

    系統采用的對稱算法和非對稱算法都是國際上通用的算法，符合 PKI/CA 國際標準，所選擇的加密模塊也符合開放標準，例如： DES ， RSA 等，密鑰長度支持 512 、 1024 、 2048 位。系統遵從 X.509 證書及相關標準，能直接嵌入到現有環境中，實現與現有資源的整合，而且采用的都是 Windows 的標準操作，易學、易用，而且 ETCA 界面上是全中文的，在操作習慣的引導上也充分考慮了中國用戶的習慣。

應用范圍
    時代億信數字證書認證服務系統能夠保證發放數字證書的qw性、有效性和可信性，解決偽z、j冒身份等安全問題。

    目前企業級 CA 系統 (ETCA) 廣泛用于企業，政府，jd的日常安全辦公，同時也是電信，媒介，金融，保險等行業網上業務的安全保障平臺。企業級 CA 服務系統還可以方便、快捷地與伙伴行業核心業務系統集成，形成優勢互補的行業整體解決方案，如財務、工作流軟件、 ERP 系統、 EIP 系統。