1.系统架构
中国石化PKJCA系统采用具有中国石化特色的PKI体系架构,多种建设模式与管理模式相结合,适应中国石化组织机构复杂、企业分布广泛、人数众多等特点。中国石化拥有100多家下属企业,针对企业规模差距较大、应用系统平台多样的特点,PKI/ CA系统选择了“根CA+单运营CA+多个RA+多个LRA”架构(附图25),采用分散与集中相结合的部署方式,节约了投资,缩短了建设周期,加快了PKI/CA推广。
中国石化PKI/CA系统在总部统一建设了根CA、运营CA、KMC、OCSP、目录服务、总部RA和托管RA子系统,总部托管RA子系统为企业提供集中服务,形成了覆盖全集团的数字证书管理系统,有效支撑了关键应用系统的安全。