netsign是什么？網(wǎng)名驗簽服務器（NetSign）能對三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務什么，并對簽名數(shù)據(jù)驗證其簽名真實性和有效性；允許差別CA的用戶證書驗證，提供C

netsign是什么？

網(wǎng)名驗簽服務器（NetSign）能對三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務什么，并對簽名數(shù)據(jù)驗證其簽名真實性和有效性；允許差別CA的用戶證書驗證，提供CRL/OCSP等多種的證書有效性驗證。

滿足用戶在網(wǎng)絡行為中不能否認、信息完整性、私密性等需求，并能提供去相關認證交易信息溯源驗證驗證。

公開密匙基礎設施PKI的組成和基本功能是什么？

密鑰管理中心（KMC）：密鑰管理中心向CA服務可以提供咨詢密鑰服務，如密鑰生成沉淀、密鑰存儲、密鑰備分、密鑰復原、密鑰托管和密鑰運算等。

CA認證機構：CA認證機構是PKI公鑰基礎設施的核心，它主要注意完成生成沉淀/簽發(fā)時間證書、生成/批文證書撤消列表（CRL）、首頁證書和CRL到目錄服務器、以維護證書數(shù)據(jù)庫和審計日志庫等功能。

RA需要注冊審核機構：RA是數(shù)字證書的申請、審核和需要注冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體，比較多全權負責提供證書注冊一、核審這些發(fā)證機關功能。

首頁系統(tǒng)：首頁系統(tǒng)通常提供LDAP服務、OCSP服務和可以注冊服務。注冊服務為用戶提供給大俠幫幫忙去注冊的功能；LDAP可以提供證書和CRL的目錄瀏覽服務；OCSP提供給證書狀態(tài)在線查詢服務。

應用接口系統(tǒng)：應用接口系統(tǒng)為外界提供不使用PKI安全服務的入口。應用接口系統(tǒng)一般采用API、COM等多種形式。一個典型、完整、快速有效的PKI應用系統(tǒng)起碼應更具以下部分

公鑰密碼證書管理(證書庫）

黑名單的發(fā)布和管理(證書撤銷)

密鑰的備份和恢復

自動更新密鑰

自動啟動管理歷史密鑰

分布式體系結構的建立

認證機構是PKI安全體系的核心，相對于一個規(guī)模大的分布式企業(yè)應用系統(tǒng)，需要依據(jù)應用系統(tǒng)的分布情況和組織結構辦事機構28級CA機構。CA絕對信任體系具體描述了PKI安全體系的分布式結構。

簽發(fā)機構管理機構

CA在內的各級CA。根CA是整個CA體系的信任源。全權負責整個CA體系的管理，簽發(fā)并管理下級CA證書。從安全角度出發(fā)去，根CA好象需要離線狀態(tài)工作。

根以下的其他各級CA你們負責本轄區(qū)的安全，為本轄區(qū)用戶和下級CA核發(fā)證書，并管理所發(fā)證書。理論上CA體系的層數(shù)也可以沒有限制的，考慮到整個體系的信任強度，在求實際建設中，象都采用兩級或三級CA結構。

RA注冊一需要審核機構設置

從廣義上講，RA是CA的一個組成部分，主要全權負責數(shù)字證書的申請、審核和注冊一。之外根CA以外，每一個CA機構都包括一個RA機構，全權負責本級CA的證書申請、核審工作。

RA機構的設置是可以參照企業(yè)行政管理機構來通過，RA的下級級構可以是RA分中心或業(yè)務受理點LRA。

受理點LRA與注冊一機構RA達成排成證書申請、需要審核、可以注冊中心的整體。LRA再朝最終用戶，負責對用戶遞交的申請資料參與錄入、審核和證書制作。

KMC密鑰管理中心

一般來說，每一個CA中心都不需要有一個KMC負責該CA區(qū)域內的密鑰管理任務。KMC可以不依據(jù)什么應用所需PKI規(guī)模的大小靈話可以設置，既可以建立起另的KMC，也這個可以需要鑲嵌式KMC，讓KMC模塊再運行在CA服務器上。

首頁系統(tǒng)

發(fā)布系統(tǒng)是PKI安全體系中的一個不重要組成部分。它由主要用于發(fā)布數(shù)字證書和CRL的證書發(fā)部系統(tǒng)、在線證書狀態(tài)查詢系統(tǒng)（OCSP）和在線去注冊服務系統(tǒng)排成。證書和CRL區(qū)分標準的LDAP協(xié)議先發(fā)布到LDAP服務器上，應用程序可以先發(fā)布系統(tǒng)驗證用戶證書的合法性。OCSP提供給證書狀態(tài)的實時動態(tài)在線查詢功能。