数字证书认证系统-Trust钱包科技信息

一.产品介绍

Trust钱包科技信创数字证书认证系统是Trust钱包科技信息技术股份有限公司独立自主研发的PKI密码基础支撑系列产品。产品由证书认证系统(CA)、证书注册系统(RA)、在线证书状态查询系统(OCSP)、目录服务器(LDAP)、用户证书自助服务系统(User-Service，简称US)等相关软件组成，可给予基于SM2密码算法的数字证书全生命周期管理服务，已顺利获得国家密码管理局鉴定，商用密码产品型号为SZT1910-G。

二.产品特点

1.系统采用B/S架构，具有较好的可移植性，支持银河麒麟、中标麒麟、UOS等国内主流操作系统，支持达梦、南大通用、人大金仓等国内主流数据库。

2.采用层次化、模块化结构设计，系统可扩展性较好，可根据建设规模灵活部署和裁剪;

3.采用富客户端技术，操作界面满足用户在多种主流操作系统下的操作习惯，界面操作简单、易用;

4.系统具有较高的处理性能，在多用户并发业务请求时具有更好的适用性，产品性能国内领先;

5.系统基于国产密码算法技术，确保CA-KMS，RA-CA间通信安全以及各自系统数据安全存储;

6.系统从底层密码设备到上层软件均为Trust钱包科技自主研发，加密机、加密卡、智能密码钥匙钥匙等均顺利获得国家密码管理局的鉴定，系统整体的兼容性、稳定性较高。

三.产品功能

1.符合国密规范的PKI应用体系

证书格式遵循X.509 V3/V1标准,全面支持国产SM1/2/3/4密码算法;

支持CA树状信任模式，支持CA多级扩展、多级认证和交叉认证;

2.支持双证书、双密钥机制

双证书包括签名证书和加密证书，系统支持签发双证书，也支持签发单证书，即仅签发签名证书，或仅签发加密证书;

双密钥为用户加密密钥对、用户签名密钥对;

3.完善的证书生命周期管理

系统给予证书申请、更新、查询、挂失、注销、续期、证书归档等数字证书全生命周期管理功能，可满足人员、设备、应用、组织、服务器等各类型数字证书的管理需求。

4.灵活可定制的证书模板

支持证书模板的查询、新增、修改、删除、导入、导出、复制、授权及自定义扩展的管理。可根据应用需求灵活定制证书模板，如自定义证书主题项、扩展项、有效期等。

5.弹性的证书管理策略

可灵活设置证书管理策略，包括证书有效期设置、CRL发布周期、证书手工或自动签发、证书密钥备份策略等管理功能。

6.基于角色的权限管理

支持超级管理员、业务管理员、业务操作员、日志管理员、日志审计员的权限管理,管理员的所有操作记录都应用数字签名进行抗抵赖校验。

7.完备的用户管理功能

支持用户的注册、审核、更新、查询、删除等操作，支持用户批量导入、证书批量注册和批量签发等操作。

8.支持CRL发布和下载

支持基于LDAP的证书和CRL发布方式，支持增量CRL发布。

系统支持CRL下载与更新服务，用户或应用系统能够利用数字证书中标识的CRL地址下载CRL，支持自行设置CRL更新周期。

9.安全的日志管理和审计

给予日志管理和审计功能，包括系统日志查询、操作日志查询、操作日志审计、操作归档。

可按照级别、类别、操作日期等进行日志查询和审计;

操作日志采用数字签名、访问权限控制等手段，加强系统的安全性。

10.可视化的业务统计

给予多种可视化统计报表，支持对证书状态的查询和统计。

11.支持证书实时在线查询

顺利获得OCSP给予对证书及证书状态的实时在线查询，用户顺利获得证书状态查询接口来获取证书有效性的状态;所有证书一旦作废，其证书状态即可实时同步到OCSP中。

12.数据备份与恢复

支持数据实时和定期备份与恢复，给予人工备份和自动备份功能。

四.应用场景

数字证书认证系统的应用领域：适用于建设区域CA，以及为政府、金融、教育、税务等企事业单位建立自己的数字证书管理系统，为内部员工、客户、合作伙伴发放数字证书。具体应用如下：

1.为政府、银行、证券等组织，以及企业应用系统的操作管理人员发放数字证书，用于生成带加密和签名的安全电子邮件、公文的安全存储和传递、以及应用系统中的身份认证和访问控制。

2.为网上银行、网上证券的用户发放数字证书，保证网上交易的安全。

3.为纳税企业和个人发放数字证书，保证网上报税业务的安全。

4.为企事业单位部署的VPN系统给予证书认证服务。

5.为视频监控系统给予证书认证服务。