netsign是什么？網(wǎng)名驗(yàn)簽服務(wù)器（NetSign）能對(duì)三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務(wù)什么，并對(duì)簽名數(shù)據(jù)驗(yàn)證其簽名真實(shí)性和有效性；允許差別CA的用戶證書驗(yàn)證，提供C

netsign是什么？

網(wǎng)名驗(yàn)簽服務(wù)器（NetSign）能對(duì)三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務(wù)什么，并對(duì)簽名數(shù)據(jù)驗(yàn)證其簽名真實(shí)性和有效性；允許差別CA的用戶證書驗(yàn)證，提供CRL/OCSP等多種的證書有效性驗(yàn)證。

滿足用戶在網(wǎng)絡(luò)行為中不能否認(rèn)、信息完整性、私密性等需求，并能提供去相關(guān)認(rèn)證交易信息溯源驗(yàn)證驗(yàn)證。

公開密匙基礎(chǔ)設(shè)施PKI的組成和基本功能是什么？

密鑰管理中心（KMC）：密鑰管理中心向CA服務(wù)可以提供咨詢密鑰服務(wù)，如密鑰生成沉淀、密鑰存儲(chǔ)、密鑰備分、密鑰復(fù)原、密鑰托管和密鑰運(yùn)算等。

CA認(rèn)證機(jī)構(gòu)：CA認(rèn)證機(jī)構(gòu)是PKI公鑰基礎(chǔ)設(shè)施的核心，它主要注意完成生成沉淀/簽發(fā)時(shí)間證書、生成/批文證書撤消列表（CRL）、首頁證書和CRL到目錄服務(wù)器、以維護(hù)證書數(shù)據(jù)庫和審計(jì)日志庫等功能。

RA需要注冊(cè)審核機(jī)構(gòu)：RA是數(shù)字證書的申請(qǐng)、審核和需要注冊(cè)中心。它是CA認(rèn)證機(jī)構(gòu)的延伸。在邏輯上RA和CA是一個(gè)整體，比較多全權(quán)負(fù)責(zé)提供證書注冊(cè)一、核審這些發(fā)證機(jī)關(guān)功能。

首頁系統(tǒng)：首頁系統(tǒng)通常提供LDAP服務(wù)、OCSP服務(wù)和可以注冊(cè)服務(wù)。注冊(cè)服務(wù)為用戶提供給大俠幫幫忙去注冊(cè)的功能；LDAP可以提供證書和CRL的目錄瀏覽服務(wù)；OCSP提供給證書狀態(tài)在線查詢服務(wù)。

應(yīng)用接口系統(tǒng)：應(yīng)用接口系統(tǒng)為外界提供不使用PKI安全服務(wù)的入口。應(yīng)用接口系統(tǒng)一般采用API、COM等多種形式。一個(gè)典型、完整、快速有效的PKI應(yīng)用系統(tǒng)起碼應(yīng)更具以下部分

公鑰密碼證書管理(證書庫）

黑名單的發(fā)布和管理(證書撤銷)

密鑰的備份和恢復(fù)

自動(dòng)更新密鑰

自動(dòng)啟動(dòng)管理歷史密鑰

分布式體系結(jié)構(gòu)的建立

認(rèn)證機(jī)構(gòu)是PKI安全體系的核心，相對(duì)于一個(gè)規(guī)模大的分布式企業(yè)應(yīng)用系統(tǒng)，需要依據(jù)應(yīng)用系統(tǒng)的分布情況和組織結(jié)構(gòu)辦事機(jī)構(gòu)28級(jí)CA機(jī)構(gòu)。CA絕對(duì)信任體系具體描述了PKI安全體系的分布式結(jié)構(gòu)。

簽發(fā)機(jī)構(gòu)管理機(jī)構(gòu)

CA在內(nèi)的各級(jí)CA。根CA是整個(gè)CA體系的信任源。全權(quán)負(fù)責(zé)整個(gè)CA體系的管理，簽發(fā)并管理下級(jí)CA證書。從安全角度出發(fā)去，根CA好象需要離線狀態(tài)工作。

根以下的其他各級(jí)CA你們負(fù)責(zé)本轄區(qū)的安全，為本轄區(qū)用戶和下級(jí)CA核發(fā)證書，并管理所發(fā)證書。理論上CA體系的層數(shù)也可以沒有限制的，考慮到整個(gè)體系的信任強(qiáng)度，在求實(shí)際建設(shè)中，象都采用兩級(jí)或三級(jí)CA結(jié)構(gòu)。

RA注冊(cè)一需要審核機(jī)構(gòu)設(shè)置

從廣義上講，RA是CA的一個(gè)組成部分，主要全權(quán)負(fù)責(zé)數(shù)字證書的申請(qǐng)、審核和注冊(cè)一。之外根CA以外，每一個(gè)CA機(jī)構(gòu)都包括一個(gè)RA機(jī)構(gòu)，全權(quán)負(fù)責(zé)本級(jí)CA的證書申請(qǐng)、核審工作。

RA機(jī)構(gòu)的設(shè)置是可以參照企業(yè)行政管理機(jī)構(gòu)來通過，RA的下級(jí)級(jí)構(gòu)可以是RA分中心或業(yè)務(wù)受理點(diǎn)LRA。

受理點(diǎn)LRA與注冊(cè)一機(jī)構(gòu)RA達(dá)成排成證書申請(qǐng)、需要審核、可以注冊(cè)中心的整體。LRA再朝最終用戶，負(fù)責(zé)對(duì)用戶遞交的申請(qǐng)資料參與錄入、審核和證書制作。

KMC密鑰管理中心

一般來說，每一個(gè)CA中心都不需要有一個(gè)KMC負(fù)責(zé)該CA區(qū)域內(nèi)的密鑰管理任務(wù)。KMC可以不依據(jù)什么應(yīng)用所需PKI規(guī)模的大小靈話可以設(shè)置，既可以建立起另的KMC，也這個(gè)可以需要鑲嵌式KMC，讓KMC模塊再運(yùn)行在CA服務(wù)器上。

首頁系統(tǒng)

發(fā)布系統(tǒng)是PKI安全體系中的一個(gè)不重要組成部分。它由主要用于發(fā)布數(shù)字證書和CRL的證書發(fā)部系統(tǒng)、在線證書狀態(tài)查詢系統(tǒng)（OCSP）和在線去注冊(cè)服務(wù)系統(tǒng)排成。證書和CRL區(qū)分標(biāo)準(zhǔn)的LDAP協(xié)議先發(fā)布到LDAP服務(wù)器上，應(yīng)用程序可以先發(fā)布系統(tǒng)驗(yàn)證用戶證書的合法性。OCSP提供給證書狀態(tài)的實(shí)時(shí)動(dòng)態(tài)在線查詢功能。