netsign是什么？網(wǎng)名驗簽服務(wù)器（NetSign）能對三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務(wù)什么，并對簽名數(shù)據(jù)驗證其簽名真實性和有效性；允許差別CA的用戶證書驗證，提供C

netsign是什么？

網(wǎng)名驗簽服務(wù)器（NetSign）能對三千多種電子信息數(shù)據(jù)、電子文檔等提供給基于數(shù)字證書的數(shù)字簽名服務(wù)什么，并對簽名數(shù)據(jù)驗證其簽名真實性和有效性；允許差別CA的用戶證書驗證，提供CRL/OCSP等多種的證書有效性驗證。

滿足用戶在網(wǎng)絡(luò)行為中不能否認(rèn)、信息完整性、私密性等需求，并能提供去相關(guān)認(rèn)證交易信息溯源驗證驗證。

公開密匙基礎(chǔ)設(shè)施PKI的組成和基本功能是什么？

密鑰管理中心（KMC）：密鑰管理中心向CA服務(wù)可以提供咨詢密鑰服務(wù)，如密鑰生成沉淀、密鑰存儲、密鑰備分、密鑰復(fù)原、密鑰托管和密鑰運算等。

CA認(rèn)證機構(gòu)：CA認(rèn)證機構(gòu)是PKI公鑰基礎(chǔ)設(shè)施的核心，它主要注意完成生成沉淀/簽發(fā)時間證書、生成/批文證書撤消列表（CRL）、首頁證書和CRL到目錄服務(wù)器、以維護(hù)證書數(shù)據(jù)庫和審計日志庫等功能。

RA需要注冊審核機構(gòu)：RA是數(shù)字證書的申請、審核和需要注冊中心。它是CA認(rèn)證機構(gòu)的延伸。在邏輯上RA和CA是一個整體，比較多全權(quán)負(fù)責(zé)提供證書注冊一、核審這些發(fā)證機關(guān)功能。

首頁系統(tǒng)：首頁系統(tǒng)通常提供LDAP服務(wù)、OCSP服務(wù)和可以注冊服務(wù)。注冊服務(wù)為用戶提供給大俠幫幫忙去注冊的功能；LDAP可以提供證書和CRL的目錄瀏覽服務(wù)；OCSP提供給證書狀態(tài)在線查詢服務(wù)。

應(yīng)用接口系統(tǒng)：應(yīng)用接口系統(tǒng)為外界提供不使用PKI安全服務(wù)的入口。應(yīng)用接口系統(tǒng)一般采用API、COM等多種形式。一個典型、完整、快速有效的PKI應(yīng)用系統(tǒng)起碼應(yīng)更具以下部分

公鑰密碼證書管理(證書庫）

黑名單的發(fā)布和管理(證書撤銷)

密鑰的備份和恢復(fù)

自動更新密鑰

自動啟動管理歷史密鑰

分布式體系結(jié)構(gòu)的建立

認(rèn)證機構(gòu)是PKI安全體系的核心，相對于一個規(guī)模大的分布式企業(yè)應(yīng)用系統(tǒng)，需要依據(jù)應(yīng)用系統(tǒng)的分布情況和組織結(jié)構(gòu)辦事機構(gòu)28級CA機構(gòu)。CA絕對信任體系具體描述了PKI安全體系的分布式結(jié)構(gòu)。

簽發(fā)機構(gòu)管理機構(gòu)

CA在內(nèi)的各級CA。根CA是整個CA體系的信任源。全權(quán)負(fù)責(zé)整個CA體系的管理，簽發(fā)并管理下級CA證書。從安全角度出發(fā)去，根CA好象需要離線狀態(tài)工作。

根以下的其他各級CA你們負(fù)責(zé)本轄區(qū)的安全，為本轄區(qū)用戶和下級CA核發(fā)證書，并管理所發(fā)證書。理論上CA體系的層數(shù)也可以沒有限制的，考慮到整個體系的信任強度，在求實際建設(shè)中，象都采用兩級或三級CA結(jié)構(gòu)。

RA注冊一需要審核機構(gòu)設(shè)置

從廣義上講，RA是CA的一個組成部分，主要全權(quán)負(fù)責(zé)數(shù)字證書的申請、審核和注冊一。之外根CA以外，每一個CA機構(gòu)都包括一個RA機構(gòu)，全權(quán)負(fù)責(zé)本級CA的證書申請、核審工作。

RA機構(gòu)的設(shè)置是可以參照企業(yè)行政管理機構(gòu)來通過，RA的下級級構(gòu)可以是RA分中心或業(yè)務(wù)受理點LRA。

受理點LRA與注冊一機構(gòu)RA達(dá)成排成證書申請、需要審核、可以注冊中心的整體。LRA再朝最終用戶，負(fù)責(zé)對用戶遞交的申請資料參與錄入、審核和證書制作。

KMC密鑰管理中心

一般來說，每一個CA中心都不需要有一個KMC負(fù)責(zé)該CA區(qū)域內(nèi)的密鑰管理任務(wù)。KMC可以不依據(jù)什么應(yīng)用所需PKI規(guī)模的大小靈話可以設(shè)置，既可以建立起另的KMC，也這個可以需要鑲嵌式KMC，讓KMC模塊再運行在CA服務(wù)器上。

首頁系統(tǒng)

發(fā)布系統(tǒng)是PKI安全體系中的一個不重要組成部分。它由主要用于發(fā)布數(shù)字證書和CRL的證書發(fā)部系統(tǒng)、在線證書狀態(tài)查詢系統(tǒng)（OCSP）和在線去注冊服務(wù)系統(tǒng)排成。證書和CRL區(qū)分標(biāo)準(zhǔn)的LDAP協(xié)議先發(fā)布到LDAP服務(wù)器上，應(yīng)用程序可以先發(fā)布系統(tǒng)驗證用戶證書的合法性。OCSP提供給證書狀態(tài)的實時動態(tài)在線查詢功能。