登錄
注冊
PKI技術專題:4、主流的PKI產品
作者: 張凱 徐佳 周瑞輝
來源:RFID世界網
日期:2005-08-01 10:18:28
摘要:PKI技術專題:4、主流的PKI產品
隨著網絡應用的不斷普及深入,PKI的市場正在不斷擴大。現在,市場上涌現出了很多PKI產品,在這里,我們選擇了三家最具有代表性的PKI產品進行介紹。希望通過對它們的介紹,能夠開闊我們的眼界與思路,促進我國PKI產品的發展。
Baltimore 公司的UniCERT
UniCERT 是Baltimore Technologies公司推出的PKI產品。這是一家跨國IT企業,總部設在愛爾蘭首都都柏林,主要從事網絡安全領域的產品開發。UniCERT是目前世界上最先進的PKI產品之一。
1. UniCERT的構成
由于可擴展性的需要,UniCERT的部件分成三個層次:
1 核心部件
核心部件包括CA、CAO、RA、RAO、UniCERT Gateway和Token Manager。CA是整個PKI的核心,它的主要功能是頒布證書或證書撤銷信息(如證書撤銷列表);而CAO則是CA的操作客戶端,也可以說是CA的圖形界面,另外,CAO對整個PKI系統的管理員來說還是一個設計工具,管理員可以用CAO提供的編輯器來確定整個PKI系統的結構和安全策略。RA、RAO和UniCERT Gateway一起構成了注冊機構,而用戶注冊的工作在RAO或UniCERT Gateway完成,其中RAO用于面對面的注冊,Gateway用于遠程注冊。UniCERT Gateway包括Web Gateway、E-mail Gateway和VPN Gateway。相對而言,RA模塊最小,主要起通信作用,相當于CA和RAO、Gateway之間的路由器,每一個RA及與其相連的多個RAO或Gateway一起構成了一個操作域,這個域通過RA與CA相連。Token Manager是一個獨立的模塊,用于管理令牌以及硬件安全模塊(HSM)。
2 高級部件
高級部件包括Archive Server、Advanced Registration Module (ARM)、WebRAO和WebRAO Server。
Archive Server是一個數據安全管理模塊,可以用于存儲用戶的私鑰、管理證書及證書撤銷信息。ARM是為系統集成商、軟件商以及商業CA提供的,用于開發PKI系統的應用并將它們集成在一起。WebRAO允許操作員通過瀏覽器來認可證書請求,而WebRAO Server則是WebRAO與RA之間的信息傳遞中介。
3 擴展部件
包括Timestamp Server(TS)和Attribute Certificate Server(ACS)。其中,TS可驗證交易中的時間戳,它提供對時間戳的認證、完整性以及不可否認性要求的支持。ACS是屬性證書服務器。屬性證書是另外一種形式的證書,區別于普通的證書。
2. UniCERT的特點
總的來說,UniCERT是一個策略驅動、模塊化的PKI。依靠CAO上的策略編輯,UniCERT可以使整個PKI系統貫徹同一個安全策略。同時依靠模塊化的設計,UniCERT實現了高度的靈活性和可擴展性。其主要特點體現在以下方面:
* 靈活: UniCERT可以有多種不同的注冊方式,可以是面對面的,也可以是遠程的,還可以是用戶自定義的。它也支持多種格式的證書頒發和證書撤銷機制,包括CRL v2和OCSP。此外,它還支持第三方軟件和加密硬件。
* 易用:全GUI界面,有PKI編輯器和策略編輯器。此外還有詳細的報告、審計和備份機制。
* 策略支持:可以編輯整個PKI的安全策略,包括證書頒發條件、證書內容、證書目的以及管理證書生命周期的機制等。支持證書擴展,還可以支持與證書相關但不放在證書里的敏感數據,并保證其安全性。
* 可擴展:UniCERT是一個依規模劃分的PKI系統,可以實現從小到大的擴展。它采用模塊化的設計,并且能保證模塊之間的通信是安全的。它也可以劃分操作域,且操作域的大小只受數據庫大小的限制。同時,它還支持無限的CA層次和任意的交叉認證,支持CA克隆。
* 開放:支持所有相關的工業標準,實現了多數可行的商業協議,采用了多數流行的加密算法。
* 安全:支持硬件加密模塊(HSM)、智能卡以及令牌等;支持災難恢復,有非常強大的密鑰加密存儲功能。
Entrust/PKI 5.0
Entrust/PKI 5.0是Entrust公司的PKI產品。該公司總部設在美國得克薩斯州,其產品在電子商務安全產品市場中處于全球領先地位。最新的IDC調查報告表明,Entrust公司在全球PKI市場中占據了35%的份額。Entrust的PKI 5.0充分體現了可管理性和安全性,獲得了Common Criteria Evaluation (CCE) EAL-3 and FIPS 140-1 level 1 to 3 的安全認證。
Entrust的CA具有良好的靈活性,它可以向各種設備或應用程序頒發數字證書,包括終端PC用戶、Web服務器、Web瀏覽器、VPN設備、SET用戶等。凡是支持X.509證書格式的設備或應用程序都可以獲得數字證書,這樣就最大限度地利用了PKI所能提供的功能。此外,Entrust的CA的靈活性還表現在它可以針對個別特殊用戶定制相應的特殊證書,并在這個特別證書里賦予該用戶一些特殊權力。
Entrust的CA有著較完善的CA數據庫功能,包括數據庫加密、完整性檢驗、CA專有硬件、對敏感操作的分級權限設定等,它們充分保障了數據的安全性。
Entrust的RA在用戶登記方面既保證了安全性又保證了易用性。它將RA管理員角色從功能上劃分為不同等級,不同等級的管理員具有不同的操作權限。此外,RA不僅可以用于授權和撤銷證書,還具有多項功能以支持整個PKI系統的安全性,如密鑰備份、密鑰恢復、更新用戶注冊信息、改變所屬CA、自動更新證書等。
為了保障數據的安全性,對用戶的簽名私鑰和解密私鑰必須嚴格保密。為了讓他人驗證簽名或發送密文,還要公開簽名驗證公鑰和加密公鑰,這些密鑰對和相應的證書都需要定期更新,當然這也包括CA本身的根密鑰對。其他PKI產品通常都需要用戶手工更新密鑰對和證書,這就需要用戶掌握一定的證書知識,無形之中增加了系統使用的復雜度和使用成本。Entrust的PKI 5.0產品在密鑰和證書管理方面采用了自動更新用戶和CA密鑰對技術,保證系統在密鑰對生命期終止之前可以自動、無縫且安全地更新密鑰對,從而大大降低了系統的使用成本。
PKI 5.0也提供了較為完善的密鑰備份和恢復系統。當因意外導致密鑰丟失時,用戶可以很方便地找回丟失的密鑰。用戶解密密鑰的整個歷史都可以安全地恢復,這樣用戶就可以在自己曾經擁有的解密密鑰中自行選擇恢復相應的密鑰。
在證書撤銷系統中, PKI 5.0支持所有的證書撤銷格式和標準,包括證書撤銷列表CRL(Certificate Revocation List)、CRL分布點以及在線證書狀態協議OCSP(OnlineCertificate Status Protocol)。它通過適時自動地發布證書撤銷信息,保證被撤銷證書的用戶立即被隔離,并且不對其他正常用戶造成不便。
為了確保公正性,Entrust/PKI 5.0提供了較好的簽名密鑰對和加解密密鑰對管理。這兩對密鑰對是相互隔離的,并且系統不對簽名密鑰對做備份,只有用戶本人才擁有簽名密鑰對,這就充分保證了加密信息的不可否認性。
在PKI的網絡結構方面,Entrust/PKI 5.0支持樹狀和網狀兩種結構。在樹狀結構中,頂層的根CA具有最大的管理權限;而在端對端的網狀結構中,相鄰的CA控制著各自的CA域,它很適合于彼此平等的不同組織。在目錄服務方面,它支持任何兼容LDAP的目錄,可最大限度地保證安全性和靈活性。
在一個PKI系統中,策略管理是非常重要的核心部分。策略制定得好壞很大程度上影響著整個PKI系統的性能。比如,用戶什么情況下需要使用最強的加密算法、用戶訪問權限的設定以及密鑰屬性的設定等。CA的策略管理、RA的策略管理、用戶的策略管理、PKI網絡結構的策略管理等都需要根據整個PKI體系的性能并結合具體應用環境進行詳細周密的考慮。PKI 5.0產品充分考慮了各項策略的制定和實施,并且給用戶提供了相當的選擇自由。
在可擴展性方面,Entrust/PKI 5.0做到了大容量、高可用性和高級網絡帶寬管理。大容量體現在每個CA最多可有一百萬用戶;高可用性表現在提供自動更新密鑰和證書,并且有多機備份以防止意外災難性故障;高級網絡帶寬管理充分利用了cache技術,減少了網絡擁塞的機會。
在互用性方面,Entrust/PKI 5.0支持國際上的各項標準,如X.509格式證書、CRL、OCSP、LDAP、PKIX、PKCS、IPSec和SSL等。對其他安全產品也表現出了良好的兼容性,如支持Baltimore、Verisign、Microsoft、Netscape等。
VeriSign公司的OnSite
VeriSign公司的名字對許多人來說并不陌生,當我們在網上沖浪時,我們經常遇到由VeriSign頒發證書的插件,在使用Outlook Express等軟件時,如果我們愿意,就可以得到一個由VeriSign公司頒發的證書。VeriSign公司不僅提供認證服務,還提供PKI產品。
OnSite 是一個完整的PKI產品,被用來對企業內部互聯網、外部網、VPN以及電子商務應用軟件提供具有最大限度的靈活性、有效性和可擴展性的安全服務,它可以幫助您高效地建立一個健壯的、滿足需求的PKI系統。與純軟件的解決方案和完全由自己建立PKI系統不同,OnSite可以使您權衡自己的力量并發揮自己的優勢。使用OnSite, 您可以在VeriSign提供的證書處理免費服務的基礎上控制證書的頒發和管理。
OnSite提供了安全Web訪問、本地主機、密鑰管理和恢復、證書確認、應用程序工具包、雙鑰支持和自動證書恢復等功能,它由如下部件組成:Automated Administration、OnSite for IPsec (另外提供)、Global Server OnSite (另外提供)、Go Secure! forMicrosoft Exchange (另外提供)、Go Secure! for Web Applications、CertificateManagement Tools、Local Hosting、OnSite Key Management Service (另外提供)、Passcode Authentication。這里我們分別介紹各部件。
* Automated Administration:即自動管理,將申請者所提供的證書申請資料與數據庫中的數據進行比較,若符合則對申請者頒發證書,反之則拒絕發放。這一過程可由您自行定制的軟件來完成,無須管理員手工完成。
* OnSite for IPsec:IPsec是在IP網絡上確保安全保密通信的公開標準框架。OnSite for IPsec可以使您的公司向符合IPsec標準的路由器、防火墻等設備頒發證書,這些證書用于在這些設備之間加密和認證數據,從而建立VPN。
* Global Server OnSite:由于美國法律的限制,所有出口到美國和加拿大以外的瀏覽器所使用的Secure Server ID只能用在40位的SSL會晤中,而不是128位的SSL會晤中。為了使美國和加拿大以外的用戶也能享受到128位的SSL會晤所帶來的安全性,VeriSign聯合美國進出口管理局(US Bureau of Export Administration)、Microsoft公司和Netscape公司開發了Global Server ID。如果客戶端軟件采用了Step-UP技術或Server Gated Cryptography技術,則Global Server ID可以使出口版本瀏覽器的SSL會晤由40位變為128位。
* Go Secure! for Microsoft Exchange:通過與Microsoft Exchange服務器整合在一起,從而可以向Microsoft Outlook用戶分發證書,并且將發布證書的信息儲存在Exchange服務器目錄里。
* Go Secure! for Web Applications:保證Web應用程序通過內聯網、外聯網或互聯網訪問資源時的安全性。
* Certificate management tools:即證書管理工具,包括證書語法分析模塊(簡稱CPM)和證書確認模塊(簡稱CVM)。其中,證書語法分析模塊用于從提交給Web服務器的客戶端證書中提取出各個域并把所得到的信息提交給處理證書的應用程序。證書確認模塊則提供了進行CRL檢查的可用Web服務器插件。
* Local Hosting:它使您可以在自己的Web站點而不是在VeriSign處理注冊信息和生命周期頁(即Lifecycle Pages,證書用戶通過它可以完成如下一些動作:申請一個證書、跟蹤證書的申請狀態、檢索已頒發的證書、確定另一個用戶的證書、認證一個證書、恢復自己的證書和撤銷自己的證書)。
* OnSite Key Management Service:即OnSite密鑰管理服務。密鑰對通常用于三個目的:加密、確認和簽名。因為密鑰丟失后,就無法重新產生相同的密鑰對,因此密鑰應該被集中控制。OnSite密鑰管理服務可以集中產生和保存密鑰對,而不是由每個用戶的瀏覽器自己產生和保存。由于VeriSign對設施的完善保護,使得用戶即使丟失密鑰對也很容易恢復。此外,VeriSign保證不會偷看用戶的密鑰。
* Passcode Authentication:它與Automated Administration很相似,同樣用于自動鑒別證書申請。它與Automated Administration的主要不同是:它把已經收集好的數據上載到VeriSign的站點,所有證書的產生和維護操作都是在VeriSign站點上進行,從而使您的公司減少在這方面的軟件和硬件開銷。
Baltimore 公司的UniCERT
UniCERT 是Baltimore Technologies公司推出的PKI產品。這是一家跨國IT企業,總部設在愛爾蘭首都都柏林,主要從事網絡安全領域的產品開發。UniCERT是目前世界上最先進的PKI產品之一。
1. UniCERT的構成
由于可擴展性的需要,UniCERT的部件分成三個層次:
1 核心部件
核心部件包括CA、CAO、RA、RAO、UniCERT Gateway和Token Manager。CA是整個PKI的核心,它的主要功能是頒布證書或證書撤銷信息(如證書撤銷列表);而CAO則是CA的操作客戶端,也可以說是CA的圖形界面,另外,CAO對整個PKI系統的管理員來說還是一個設計工具,管理員可以用CAO提供的編輯器來確定整個PKI系統的結構和安全策略。RA、RAO和UniCERT Gateway一起構成了注冊機構,而用戶注冊的工作在RAO或UniCERT Gateway完成,其中RAO用于面對面的注冊,Gateway用于遠程注冊。UniCERT Gateway包括Web Gateway、E-mail Gateway和VPN Gateway。相對而言,RA模塊最小,主要起通信作用,相當于CA和RAO、Gateway之間的路由器,每一個RA及與其相連的多個RAO或Gateway一起構成了一個操作域,這個域通過RA與CA相連。Token Manager是一個獨立的模塊,用于管理令牌以及硬件安全模塊(HSM)。
2 高級部件
高級部件包括Archive Server、Advanced Registration Module (ARM)、WebRAO和WebRAO Server。
Archive Server是一個數據安全管理模塊,可以用于存儲用戶的私鑰、管理證書及證書撤銷信息。ARM是為系統集成商、軟件商以及商業CA提供的,用于開發PKI系統的應用并將它們集成在一起。WebRAO允許操作員通過瀏覽器來認可證書請求,而WebRAO Server則是WebRAO與RA之間的信息傳遞中介。
3 擴展部件
包括Timestamp Server(TS)和Attribute Certificate Server(ACS)。其中,TS可驗證交易中的時間戳,它提供對時間戳的認證、完整性以及不可否認性要求的支持。ACS是屬性證書服務器。屬性證書是另外一種形式的證書,區別于普通的證書。
2. UniCERT的特點
總的來說,UniCERT是一個策略驅動、模塊化的PKI。依靠CAO上的策略編輯,UniCERT可以使整個PKI系統貫徹同一個安全策略。同時依靠模塊化的設計,UniCERT實現了高度的靈活性和可擴展性。其主要特點體現在以下方面:
* 靈活: UniCERT可以有多種不同的注冊方式,可以是面對面的,也可以是遠程的,還可以是用戶自定義的。它也支持多種格式的證書頒發和證書撤銷機制,包括CRL v2和OCSP。此外,它還支持第三方軟件和加密硬件。
* 易用:全GUI界面,有PKI編輯器和策略編輯器。此外還有詳細的報告、審計和備份機制。
* 策略支持:可以編輯整個PKI的安全策略,包括證書頒發條件、證書內容、證書目的以及管理證書生命周期的機制等。支持證書擴展,還可以支持與證書相關但不放在證書里的敏感數據,并保證其安全性。
* 可擴展:UniCERT是一個依規模劃分的PKI系統,可以實現從小到大的擴展。它采用模塊化的設計,并且能保證模塊之間的通信是安全的。它也可以劃分操作域,且操作域的大小只受數據庫大小的限制。同時,它還支持無限的CA層次和任意的交叉認證,支持CA克隆。
* 開放:支持所有相關的工業標準,實現了多數可行的商業協議,采用了多數流行的加密算法。
* 安全:支持硬件加密模塊(HSM)、智能卡以及令牌等;支持災難恢復,有非常強大的密鑰加密存儲功能。
Entrust/PKI 5.0
Entrust/PKI 5.0是Entrust公司的PKI產品。該公司總部設在美國得克薩斯州,其產品在電子商務安全產品市場中處于全球領先地位。最新的IDC調查報告表明,Entrust公司在全球PKI市場中占據了35%的份額。Entrust的PKI 5.0充分體現了可管理性和安全性,獲得了Common Criteria Evaluation (CCE) EAL-3 and FIPS 140-1 level 1 to 3 的安全認證。
Entrust的CA具有良好的靈活性,它可以向各種設備或應用程序頒發數字證書,包括終端PC用戶、Web服務器、Web瀏覽器、VPN設備、SET用戶等。凡是支持X.509證書格式的設備或應用程序都可以獲得數字證書,這樣就最大限度地利用了PKI所能提供的功能。此外,Entrust的CA的靈活性還表現在它可以針對個別特殊用戶定制相應的特殊證書,并在這個特別證書里賦予該用戶一些特殊權力。
Entrust的CA有著較完善的CA數據庫功能,包括數據庫加密、完整性檢驗、CA專有硬件、對敏感操作的分級權限設定等,它們充分保障了數據的安全性。
Entrust的RA在用戶登記方面既保證了安全性又保證了易用性。它將RA管理員角色從功能上劃分為不同等級,不同等級的管理員具有不同的操作權限。此外,RA不僅可以用于授權和撤銷證書,還具有多項功能以支持整個PKI系統的安全性,如密鑰備份、密鑰恢復、更新用戶注冊信息、改變所屬CA、自動更新證書等。
為了保障數據的安全性,對用戶的簽名私鑰和解密私鑰必須嚴格保密。為了讓他人驗證簽名或發送密文,還要公開簽名驗證公鑰和加密公鑰,這些密鑰對和相應的證書都需要定期更新,當然這也包括CA本身的根密鑰對。其他PKI產品通常都需要用戶手工更新密鑰對和證書,這就需要用戶掌握一定的證書知識,無形之中增加了系統使用的復雜度和使用成本。Entrust的PKI 5.0產品在密鑰和證書管理方面采用了自動更新用戶和CA密鑰對技術,保證系統在密鑰對生命期終止之前可以自動、無縫且安全地更新密鑰對,從而大大降低了系統的使用成本。
PKI 5.0也提供了較為完善的密鑰備份和恢復系統。當因意外導致密鑰丟失時,用戶可以很方便地找回丟失的密鑰。用戶解密密鑰的整個歷史都可以安全地恢復,這樣用戶就可以在自己曾經擁有的解密密鑰中自行選擇恢復相應的密鑰。
在證書撤銷系統中, PKI 5.0支持所有的證書撤銷格式和標準,包括證書撤銷列表CRL(Certificate Revocation List)、CRL分布點以及在線證書狀態協議OCSP(OnlineCertificate Status Protocol)。它通過適時自動地發布證書撤銷信息,保證被撤銷證書的用戶立即被隔離,并且不對其他正常用戶造成不便。
為了確保公正性,Entrust/PKI 5.0提供了較好的簽名密鑰對和加解密密鑰對管理。這兩對密鑰對是相互隔離的,并且系統不對簽名密鑰對做備份,只有用戶本人才擁有簽名密鑰對,這就充分保證了加密信息的不可否認性。
在PKI的網絡結構方面,Entrust/PKI 5.0支持樹狀和網狀兩種結構。在樹狀結構中,頂層的根CA具有最大的管理權限;而在端對端的網狀結構中,相鄰的CA控制著各自的CA域,它很適合于彼此平等的不同組織。在目錄服務方面,它支持任何兼容LDAP的目錄,可最大限度地保證安全性和靈活性。
在一個PKI系統中,策略管理是非常重要的核心部分。策略制定得好壞很大程度上影響著整個PKI系統的性能。比如,用戶什么情況下需要使用最強的加密算法、用戶訪問權限的設定以及密鑰屬性的設定等。CA的策略管理、RA的策略管理、用戶的策略管理、PKI網絡結構的策略管理等都需要根據整個PKI體系的性能并結合具體應用環境進行詳細周密的考慮。PKI 5.0產品充分考慮了各項策略的制定和實施,并且給用戶提供了相當的選擇自由。
在可擴展性方面,Entrust/PKI 5.0做到了大容量、高可用性和高級網絡帶寬管理。大容量體現在每個CA最多可有一百萬用戶;高可用性表現在提供自動更新密鑰和證書,并且有多機備份以防止意外災難性故障;高級網絡帶寬管理充分利用了cache技術,減少了網絡擁塞的機會。
在互用性方面,Entrust/PKI 5.0支持國際上的各項標準,如X.509格式證書、CRL、OCSP、LDAP、PKIX、PKCS、IPSec和SSL等。對其他安全產品也表現出了良好的兼容性,如支持Baltimore、Verisign、Microsoft、Netscape等。
VeriSign公司的OnSite
VeriSign公司的名字對許多人來說并不陌生,當我們在網上沖浪時,我們經常遇到由VeriSign頒發證書的插件,在使用Outlook Express等軟件時,如果我們愿意,就可以得到一個由VeriSign公司頒發的證書。VeriSign公司不僅提供認證服務,還提供PKI產品。
OnSite 是一個完整的PKI產品,被用來對企業內部互聯網、外部網、VPN以及電子商務應用軟件提供具有最大限度的靈活性、有效性和可擴展性的安全服務,它可以幫助您高效地建立一個健壯的、滿足需求的PKI系統。與純軟件的解決方案和完全由自己建立PKI系統不同,OnSite可以使您權衡自己的力量并發揮自己的優勢。使用OnSite, 您可以在VeriSign提供的證書處理免費服務的基礎上控制證書的頒發和管理。
OnSite提供了安全Web訪問、本地主機、密鑰管理和恢復、證書確認、應用程序工具包、雙鑰支持和自動證書恢復等功能,它由如下部件組成:Automated Administration、OnSite for IPsec (另外提供)、Global Server OnSite (另外提供)、Go Secure! forMicrosoft Exchange (另外提供)、Go Secure! for Web Applications、CertificateManagement Tools、Local Hosting、OnSite Key Management Service (另外提供)、Passcode Authentication。這里我們分別介紹各部件。
* Automated Administration:即自動管理,將申請者所提供的證書申請資料與數據庫中的數據進行比較,若符合則對申請者頒發證書,反之則拒絕發放。這一過程可由您自行定制的軟件來完成,無須管理員手工完成。
* OnSite for IPsec:IPsec是在IP網絡上確保安全保密通信的公開標準框架。OnSite for IPsec可以使您的公司向符合IPsec標準的路由器、防火墻等設備頒發證書,這些證書用于在這些設備之間加密和認證數據,從而建立VPN。
* Global Server OnSite:由于美國法律的限制,所有出口到美國和加拿大以外的瀏覽器所使用的Secure Server ID只能用在40位的SSL會晤中,而不是128位的SSL會晤中。為了使美國和加拿大以外的用戶也能享受到128位的SSL會晤所帶來的安全性,VeriSign聯合美國進出口管理局(US Bureau of Export Administration)、Microsoft公司和Netscape公司開發了Global Server ID。如果客戶端軟件采用了Step-UP技術或Server Gated Cryptography技術,則Global Server ID可以使出口版本瀏覽器的SSL會晤由40位變為128位。
* Go Secure! for Microsoft Exchange:通過與Microsoft Exchange服務器整合在一起,從而可以向Microsoft Outlook用戶分發證書,并且將發布證書的信息儲存在Exchange服務器目錄里。
* Go Secure! for Web Applications:保證Web應用程序通過內聯網、外聯網或互聯網訪問資源時的安全性。
* Certificate management tools:即證書管理工具,包括證書語法分析模塊(簡稱CPM)和證書確認模塊(簡稱CVM)。其中,證書語法分析模塊用于從提交給Web服務器的客戶端證書中提取出各個域并把所得到的信息提交給處理證書的應用程序。證書確認模塊則提供了進行CRL檢查的可用Web服務器插件。
* Local Hosting:它使您可以在自己的Web站點而不是在VeriSign處理注冊信息和生命周期頁(即Lifecycle Pages,證書用戶通過它可以完成如下一些動作:申請一個證書、跟蹤證書的申請狀態、檢索已頒發的證書、確定另一個用戶的證書、認證一個證書、恢復自己的證書和撤銷自己的證書)。
* OnSite Key Management Service:即OnSite密鑰管理服務。密鑰對通常用于三個目的:加密、確認和簽名。因為密鑰丟失后,就無法重新產生相同的密鑰對,因此密鑰應該被集中控制。OnSite密鑰管理服務可以集中產生和保存密鑰對,而不是由每個用戶的瀏覽器自己產生和保存。由于VeriSign對設施的完善保護,使得用戶即使丟失密鑰對也很容易恢復。此外,VeriSign保證不會偷看用戶的密鑰。
* Passcode Authentication:它與Automated Administration很相似,同樣用于自動鑒別證書申請。它與Automated Administration的主要不同是:它把已經收集好的數據上載到VeriSign的站點,所有證書的產生和維護操作都是在VeriSign站點上進行,從而使您的公司減少在這方面的軟件和硬件開銷。
