托管型和自建型CA建设之比较归纳.pdfVIP

1.1 CA 建设模式介绍 随着 2005 年 4 月 1 日《电子签名法》的颁布和实施，以及国家相关部门的 系列执行办法出台， PKI/CA 有了明确的法律法规和行为准则，同时明确了由一 个什么样的认证机构颁发出来的数字证书在应用中可以起到法律作用。 从上面分 析可以知道， 企业信息化建设面对两个方面的应用， 对于这两个方面应用， 在使 用 PKI 技术提供安全解决方案的时候侧重点是不同的， 对于 CA 的建设模式也是 有所区别的。 目前主要有两种不同的 PKI/CA 建设模式： 第三方托管型和自建型 。 第三方托管型 也称服务型，是指客户配置一个集成的 PKI/CA 平台，依靠第 三方 PKI 服务提供商提供的 PKI/CA 服务，在客户本地建设面向最终用户的系统 前台——证书注册中心（ RA 中心）和对 PKI 进行远程管理的 CA 管理端，直接 利用第三方 PKI 服务提供商的 PKI/CA 服务，作为系统的核心后台——证书认证 中心（ CA 中心），共同为最终用户提供安全认证服务。采用第三方托管模式， 对于 PKI/CA 核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、 运营管理和系统维护由第三方 PKI/CA 服务提供商负责， 客户只需要购买第三方 PKI 服务提供商的 PKI/CA 服务，并完成本地部分系统的建设、 运营管理和维护。 其中托管型又分两种部署方式建设：本地 RA 方式和完全托管。 自建型是指客户购买单独的 PKI/CA 软件，建设一个独立的 PKI/CA 系统， 除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配 置、高可靠性的冗余系统和灾难恢复等方面的建设。 对于自建型的 PKI/CA 系统， 客户需要考虑系统的后期运营和维护， 建立完整的运营管理体系， 并负责系统的 日常维护和升级等。客户可以利用第三方认证中心的运营管理经验和提供的运营 管理咨询服务，来建设自己的运营管理体系。可以借助 PKI/CA 软件提供商提供 的维护和升级服务，对系统进行日常维护和升级。 2 自建型和托管型两种部署模式比较 2.1 建设内容比较 比较项 托管模式 自建模式 法律保护 ? 有，采用第三方服 ? 无，电子签名法不承认自建模式具有法律 务模式，符合电子 效应 签名法 建设成本 ? 低，只需建立 RA ? 高，需要建设整套 CA/RA/LDAP 软件系 系统和购买证书 统、防火墙 /入侵检测 / 防病毒 /等防护体 系，机房物理环境 / 防火/ 温度/ 湿度/ 监控等 物理环境等； 人员成本 ? 低，通常只需要一 ? 高，需要配备安全官员 /CA 管理员 /RA 管 个证书管理员就可 理员 / 网管/保安等 / 应用系统维护员等整 以维持正常的证书 套人员配置。 业务。 维护成本 ? 低，大量的版本升 ? 高