随着信息安全技术和公钥基础设施的飞速发展,以及各级证书认证系统的建设和推广,亟需发展可靠的、满足多种应用的证书认证系统方案。CA系统不能满足各种安全应用的局限性也越来越受到人们的重视。国内CA发展现状和中国电子认证服务业的法律法规,也对证书认证系统提出了更高要求。CA市场的规范化、淘汰制、重组机制也迫切要求建立一个功能完善、技术先进、安全可靠、服务领先的证书认证系统。本论文的证书认证系统体系结构包含四个重要的实体:密钥管理中心子系统、CA中心子系统、RA中心子系统、OCSP/LDAP证书发布子系统。该证书认证系统提供对数字证书全生命周期的过程管理,包括用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。本论文在证书认证系统的设计上,采用自上而下的方法进行描述。先从网络拓扑和逻辑架构两方面设计系统总体架构;然后分析了KMC子系统、CA子系统、RA子系统、OCSP/LDAP子系统的程序组成和模块组成;最后讨论和设计了证书模板机制。本论文在证书认证系统的实现上,采用抓主要矛盾的方法进行描述。先从总体业务流程和证书申请流程两方面介绍业务流程实现;然后详细描述系统业务关键点实现,包括证书认证系统报文、RA/CA业务报文元素分析、证书管理类报文实现、证书申请类报文实现等;最后对证书模板机制、统一接口、系统安全性设计进行实现性描述。与传统的证书认证系统相比,具有以下创新性:(1)建立一个功能完善、技术先进、安全可靠、服务领先的PKI架构,支持RCA-CA-SCA-RA-LRA层次结构。(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。(3)可灵活裁减的层次化结构,可根据应用系统的需求灵活组合各个子系统,从而构建满足不同应用的证书认证系统。(4)支持强大的证书模板申请机制、更好面对复杂的证书应用。(5)系统具有开放性,能二次开发,能够适应内外部环境的变化。证书认证系统为各行各业提供基础性服务,已在电子政务领域、电子商务领域广泛使用。目前证书认证系统同授权管理系统(PMI)、单点登录系统、统一用户管理系统的集成应用成为行业热点;证书认证系统对国家标准的ECC密码算法的应用支持也将成为行业的另一看点,也对证书认证系统提出更高的要求。本文的意义在于,针对证书认证系统,提出了一套完整的实现方法,有较强的实用价值,可为各级证书认证系统的实际建设提供一种方案。本文的模板机制也可用在授权管理系统的属性证书的签发;本文的设计方法和分析手段也可用来指导其他大型项目的开发。