2) CA逻辑结构
为便于CA进行数字证书的申请、签发、发布、更新以及撤销等全生命过程的管理,CA 内部各个系统在逻辑上可分为核心层、管理层和服务层三层,如下图所示:
其中,核心层由密钥管理系统、证书签发系统、证书存储发布系统组成;管理层由证书管理系统和安全管理系统等组成;服务层由本地注册系统、远程注册系统和发布查询系统等组成。
按照实际建设时的机构设置分,一个完整的证书认证服务系统一般采用层次的结构,即按照根CA(Root CA,RCA)下设CA、CA下设子CA(Suborc'linate CA,SC A)、SCA下设RA 这样的层次结构建设。为管理方便,且根据行业或地区进行划分,一个RCA可以下设多个CA、一个CA可以管理多个RA等。通常根据系统建设规模大小,又可以灵活地设计为RCA- CA-SCA-RA四层结构、RCA-CA-RA三层结构或CA-RA两层结构。