前言
CA中心目前被广泛应用在web,邮件系统，文件加密等服务，可以给用户提供高强度加密级别，有效保证用户到用户之间的链路传输的安全。而整个安全体系是建立在CA中心安全的基础上的，所以如何保护CA中心是保证认证体系安全的关键。数码星辰专门为CA认证机构提出了安全隔离解决方案来保护CA中心安全，大大提升CA机构的安全。

市场分析
CA中心被市场广泛应用，主要应用于银行，政府，大型企事业，这些地方对安全要求都比较高，希望通过CA认证体系提升企业间通讯的安全性。在整个系统中，CA中心的安全成了核心保护点，它的安全直接影响到整个系统的安全级别。而现有的网络安全产品不能很好的保护CA中心，或者不能给CA中心提供高级别的防护，存在被入侵的可能。CRL发布不恰当也会造成安全隐患，CA直接发布CRL需要对外提供服务，存在安全隐患，对CA进行物理上的隔离，使CA服务器不与外部网络连接时，需要将CRL发布到能被外部用户访问到的地方，传统是进行手工拷贝，手续太繁琐，不利于短周期的更新CRL列表，也就不能及时将失效证书吊销，带来其他安全隐患。

方案一：自颁发CA解决方案

图（1）

上图显示了系统初期建立的单个系统的网络拓扑结构，CA和安全web服务器都设立在银行专网内，通过宇宙盾物理隔离网闸对两个网络进行隔离，对外只开放443端口只能到达安全WEB服务器，在物理隔离网闸外设立缓冲地带，为安全级别低的服务提供Internet访问，通过防火墙进行保护，同时可在该区发布证书服务器的吊销列表CRL和AIA。该列表需要外网用户随时能够访问到，否则证书会自动认为被吊销，无法使用。CA是整个系统的重要环节，所以CA服务器要重点保护，CA服务器只能通过银行专网内的系统管理员来对用户颁发证书，用户需要到现场提供有效证件证实身份后，由管理员颁发给客户制作好的USBkey，这样用户就可以在Internet上任何节点访问到安全WEB服务器，而且整个传输过程数据全部进行加密，避免了数据被窃听。针对用户颁发吊销证书的频率来设定吊销列表的更新频率，产生的新吊销列表通过数码星辰专门开发传输软件，将处在银行专网的CA服务器的CRL文件以应用层单向的方式发送到缓冲地带的WEB或FTP服务器上，提供Internet用户对该文件的访问。安全WEB服务器可以直接从银行专的CA服务器获得吊销列表，保证系统能够有效稳定的工作。
在今后的发展当中，如果需要建立分行和分行之间的信任关系，就需要将CA系统分层，这样可以建立起较为复杂的信任关系。来满足用户的特殊需求。见图（2）

图（2）

在建立证书层次结构后，整个系统安全的核心集中到了根CA,所以需要将根CA进行重点保护，具体保护颁发是，设立脱机根CA,完全断开网络连接，并将服务器放置在安全的地点，进行物理上的保护。由根CA向各支行颁发证书，在各个支行建立自己的CA中心，形成树行信任关系。各支行分别为自己的用户颁发证书。通过编辑CTL信任列表来建立支行和支行之间的信任关系，如果所示，如果颁发CA（2）所在的支行信任了颁发CA(3), 颁发CA(3)颁发的证书便能访问颁发CA（2）所在的安全WEB服务器。各个支行CA的CRL、AIA可以集中发布在一台互联网上的服务器上，提供用户对该文件的访问。由于根CA只为颁发CA提供证书，所以变动非常小，可以将更新周期设置的很长，通过人工参与的方式来为更新根CA的CRL。

方案二：采用公共CA服务
该方案在网络拓扑上相对简单，不需要专门的管理员来维护CA体系，服务相对专业，整体系统更稳定，不过对于用户管理证书相对麻烦，每个证书的申请和吊销都需要通过CA机构，不够灵活，相应时间较长。具体拓扑见

图（3）

 
用户需要向CA提出证书申请，由证书服务机构进行身份认证，证书管理全部由CA服务中心提供，用户需要每年向证书颁发机构缴纳服务费用，费用是按照用户证书，和证书支持的服务收取的。这里不详细介绍。