托管型和自建型CA建设

1、CA建设模式介绍随着2005年4月1日电子签名法的颁布和实施，以及国家相关部门的 系列执行办法出台，PKI/CA有了明确的法律法规和行为准则，同时明确了由一 个什么样的认证机构颁发出来的数字证书在应用中可以起到法律作用。从上面分 析可以知道，企业信息化建设面对两个方面的应用，对于这两个方面应用，在使 用PKI技术提供安全解决方案的时候侧重点是不同的，对于CA的建设模式也是 有所区别的。目前主要有两种不同的PKI/CA建设模式：第三方托管型和自建型。第三方托管型也称服务型，是指客户配置一个集成的PKI/CA平台，依靠第 三方PKI服务提供商提供的PKI/CA服务，在客户本地建设面向最终用户的系统

2、 前台证书注册中心（RA中心）和对PKI进行远程管理的CA管理端，直接 利用第三方PKI服务提供商的PKI/CA服务，作为系统的核心后台证书认证 中心（CA中心），共同为最终用户提供安全认证服务。采用第三方托管模式， 对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、 运营管理和系统维护由第三方PKI/CA服务提供商负责，客户只需要购买第三方 PKI服务提供商的PKI/CA服务，并完成本地部分系统的建设、运营管理和维护。 其中托管型又分两种部署方式建设：本地RA方式和完全托管。自建型是指客户购买单独的PKI/CA软件，建设一个独立的PKI/CA系统， 除了购买系统软件之

3、外，还包括系统、通信、数据库以及物理安全、网络安全配 置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统， 客户需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的 日常维护和升级等。客户可以利用第三方认证中心的运营管理经验和提供的运营 管理咨询服务，来建设自己的运营管理体系。可以借助PKI/CA软件提供商提供 的维护和升级服务，对系统进行日常维护和升级。1自建型和托管型两种部署模式比较1.1建设内容比较比较项托管模式自建模式法律保护有，采用第三方服 务模式，符合电子 签名法无，电子签名法不承认自建模式具有法律 效应建设成本 低，只需建立RA 系统和购买证

4、书高，需要建设整套CA/RA/LDAP软件系 统、防火墙/入侵检测/防病毒/等防护体 系，机房物理环境/防火/温度/湿度/监控等 物理环境等；人员成本低，通常只需要一 个证书管理员就可 以维持正常的证书 业务。高，需要配备安全官员/CA管理员/RA管 理员/网管/保安等/应用系统维护员等整 套人员配置。维护成本低，大量的版本升 级、扩容都由第三 方认证机构提供。高，需要投入系统的后续版本升级、主机 扩容、备份设备扩容等维护等服务成本高，每年需要交纳 一定的维护费和证 书费用低，服务由自己提供，没有证书服务费。运营风险低，按需逐步增加 投资，服务风险已 经转移高，所有运营风险自己承担，一次投入大

5、 量运营成本。适用环境电子商务环境 证书量不多虽然证书量大，但 由最终用户承担企业用户量大的内部OA办公内部分支机构间安全保护；从上表列出的建设内容比较可以总结:从初期建设来看，自建型CA建设需要企业对系统建设、物理场地建设、通 信与网络建设和系统安全建设等各个方面进行综合考虑，一套完善的CA认证中 心建设周期至少需要3个月。托管型CA建设只需要考虑部分的建设内容，主要 是涉及RA中心系统和CA管理端部分的建设内容，将不需要对CA中心系统的 建设内容负责，建设周期通常不会超过半个月。从运营维护来看，自建型CA建设需要考虑CA后期运营维护的所有事务， 包括运营管理规范的建设、运营管理团队的建设、

6、相关资质的准备、系统维护与 升级和客户服务支持等。而托管型CA建设对于系统的后期运营维护的工作，大 部分可以交给第三方CA认证中心负责，或者依靠第三方CA认证中心提供的规 范的运营管理来加以解决。从后期运营服务和支持来看，企业采用两种方式部署的PKI/CA对应用的支 持是相同的。但是企业是选择采用自建型还是选择托管型来部署PKI/CA时，需 要对供应商的服务支持能力进行考察。服务支持涉及两个方面，一方面是对部署 的PKI/CA本身的服务支持，另一方面是对应用的服务支持。服务支持包括服务 支持能力、服务支持的内容、服务支持的级别、服务支持的响应时限以及服务支 持的费用等都是企业部署PKI/CA必

7、须综合考虑的一些方面。1.2投资回报及风险比较从投资回报及风险来看，自建模式有完全的独立性，建设者完全控制，但需 要完全承担运营风险，而服务模式运营风险均由第三方认证中心承担。应该看到，托管模式受法律保护，是一个低成本，低风险，同时又是高可控 的PKI/CA建设模式，较适宜在电子商务或者用户量不大的环境下部署；托管型 较适宜在企业内部系统且用户量大的环境下使用。客户如何选择建设模式客户如何权衡两种建设模式，并选择采用何种建设模式来建设PKI/CA系统 呢？需要客户从自身的实际情况和应用情况出发，进行综合考虑。（1）需要考虑自身的PKI/CA应用范围第三方托管型CA适用的范围是：信息传递的双方地

8、位对等，需要独立的第 三方公正的条件下时使用。例如，企业与企业之间、企业与最终用户之间、政府 与政府之间和政府与企业之间。自建型CA适用的范围是：信息传递的双方同属于一个利益团体，无需其他 组织认可或担保对方的可信性时使用。例如，企业内部、政府部门内部、统一组 织内部。PKI/CA的信任核心是基于公正第三方的信任，因此，如果建设的PKI/CA系 统是保证企业与外部用户之间的网上业务的安全时，如渠道分销管理、网上招标 和网上采购，财务，资金系统应用等，企业必须选择第三方托管型CA建设模式， 采用公正第三方？2服务提供商提供的CA服务。如果是企业内部的应用，则可 以考虑选择自建型CA。但是，面对企

9、业内部应用时，也可以选择第三方托管型 CA，特别是一些全国性的企业或者跨国企业，建设的PKI/CA需要提供全国信任 体系或全球信任体系证书时，必须选择第三方托管型CA，因为自建型CA 只能提 供企业私有信任体系的证书。（2）需要考虑自身应用的安全级别应用的安全级别直接影响PKI/CA系统建设的安全级别，因为应用的安全是 基于PKI/CA提供的安全认证服务来保障的，而PKI/CA系统建设的安全级别主要 体现在企业对PKI/CA系统风险防范级别上，对于风险防范的级别越高，企业需 要考虑的安全性建设方面的内容会越多，企业投入的成本也越高。如果应用的安全级别高，企业需要建设高安全的PKI/CA系统企业

10、可以选择 第三方托管型CA，并考察在安全性方面进行了周密考虑和建设的第三方PKI服 务提供商；企业也可以选择自建型CA，但是在进行自建型CA建设时，企业需要 对PKI/CA的安全性建设进行周密考虑，特别在物理安全环境建设、网络安全环 境建设和运营管理体系建设方面。如果应用的安全级别不高，企业可以选择自建型CA，适当的考虑系统的安 全性建设，满足基本的安全要求即可。（3）需要考虑投入与回报采用每种建设模式，都需要企业投入成本，回报是指建设的PKI/CA系统能 够为企业带来什么，特别是安全性方面是否满足企业的需求。企业需要综合分析 每种模式所需要的成本投入以及回报，进行衡量和选择。2托管型两种部署

11、方式说明及特点本地RA模式:指客户采用第三方CA提供的数字证书签发服务，即CA体系的核心部证书签发工作，由第三方CA完成，证书的认证体系由第三方CA公司拥有，客户本地建设面向最终用户的系统前台一 证书注册中心（RA中心），企业在本地建设本地RA服务器（WEB方 式）来接收本地用户的证书申请以及其他证书生命周期管理请求。本地 RA服务器是通过部署在天威诚信后台的PORTAL代理服务器来完成用 户请求信息与后台RA服务器的通信；通过企业委派的CA管理员使用数字证书（以USB KEY为证书介质） 登录到天威诚信后台为企业提供的RA控制中心来实现证书审批和管理 功能，并负责对证书申请的鉴别、验证和证书分发工作。特点是：管理灵活、可进行本地CRL下载、可进行本地证书状态验证， RA数据库在本地，在证书发放上可实现同用户数据库关联，进行自动 发放，可以灵活定义证书模板。需要在客户本地部署RA系统有一定的工作周期，且有一定