第 5 章 规划证书系统

证书系统 PKI 的核心是证书颁发机构(CA)。CA 接收证书请求并发布所有证书。

图 5.1. 仅 CA 证书系统

请求和发布证书的所有基本处理都可以由证书管理器处理，它是唯一需要的子系统。根据组织的需求，可以有一个单一证书管理器或多个证书管理器，按许多不同的关系排列。

除了发布证书外，证书管理器也可以撤销证书。管理员的一个问题是，如果证书丢失、被破坏，或者他们签发的人员或设备，则如何处理证书。吊销证书在过期日期前无效，并且由发布 CA 编译并发布已撤销的证书列表，以便客户端能够验证证书状态。

但是，CA 无法执行的一个操作是密钥存档和恢复。一个非常实际的场景是，用户将丢失其私钥 - 例如，可以从浏览器数据库中删除密钥，或者智能卡可以保留在家里。许多常见业务操作会使用加密的数据，如加密电子邮件，并丢失解锁数据的密钥意味着数据本身丢失。根据公司中的策略，可能需要恢复密钥才能重新生成或重新导入替换证书，并且这两种操作都需要私钥。

这需要一个 KRA，该子系统特别存档和检索密钥。

图 5.2. CA 和 KRA

Key Recovery Authority 存储加密密钥（密钥存档），并可以检索这些密钥，以便 CA 可以重新发布证书（密钥恢复）。KRA 可以存储证书系统生成的任何证书的密钥，无论是为常规证书完成还是注册智能卡时。

关键归档和恢复过程在 第 2.4.5 节 “归档、恢复和轮转密钥” 中进行了更详细的说明。

子系统可以如何工作的另一个方面。如果站点有高流量，那么可以简单地安装大量 CA，作为彼此的克隆或扁平层次结构（每个 CA 独立）或树形层次结构（其中某些 CA 是从属的，其中某些 CA 是从属的），这在 第 5.2 节 “定义证书颁发机构层次结构” 中进行了更多介绍。

如果证书在其有效期内，但需要无效，则可以撤销证书。证书管理器可以发布已撤销的证书列表，以便当客户端需要验证证书是否仍然有效时，它可以检查列表。这些请求 是在线证书状态协议请求，这意味着它们具有特定的请求和响应格式。证书管理器有一个内置的 OCSP 响应程序，以便它可以自行验证 OCSP 请求。

但是，与证书请求流量一样，站点可能会有大量客户端请求来验证证书状态。示例 Corp. 有一个大型的 Web 存储，每个客户的浏览器都试图验证其 SSL/TLS 证书的有效性。同样，CA 可以处理签发证书数量，但高请求流量会影响其性能。在这种情况下，Example Corp. 使用外部 OCSP Manager 子系统来验证证书状态，并且证书管理器必须经常发布更新的 CRL。

图 5.3. CA 和 OCSP

智能卡通常需要进行人员注册和批准流程，因为它们使用物理介质来存储密钥和证书数据。这意味着多个代理需要访问 TPS，并且可能在不同办公室或地理位置中的多个 TPS 子系统。

令牌管理系统非常可扩展。可将多个 TPS 配置为与单个 CA、TKS 或 KRA 实例一起使用，而多个企业安全客户端可以与单个 TPS 通信。安装其他客户端后，它们可以指向 TPS 实例，而无需重新配置 TPS；就像添加 TPS 一样，它们可以指向相同的 CA、TKS 和 KRA 实例，而无需重新配置这些子系统。

安装后，可以编辑 TPS 配置以使用额外的 CA、KRA 和 TKS 实例进行故障转移支持，因此如果主子系统不可用，TPS 可以在不中断其令牌服务的情况下切换到下一个可用的系统。