证书认证系统是对周期内的证书管理的安全系统。在逻辑上，证书认证系统可分为核心、管理与服务三层,具体包括：

①核心层:由证书CRL签发系统、证书CRL存储发布系统构成。

②管理层:由证书管理系统、安全管理系统构成。

③服务层:由用户注册管理系统(含远程用户注册管理系统)、证书/CRL查询系统组成。其中用户注册管理系统等价于RA。

1.用户注册管理系统

用户注册管理系统申请、下载证书，并审核用户身份,该系统分为本地与远程注册管理系统。

(1)证书申请

证书申请有在线与离线两种。在线方式指用户由互联网等登至用户注册管理系统申请证书；离线方式指用户到规定的注册组织申请证书。

(2)身份审核

审核人员由用户注册管理系统核验申请者的身份。

(3)证书下载

证书下载有在线与离线两种方式。在线方式指用户顺利获得互联网等登至用户注册管理系统下载;离线方式指用户去规定的注册组织下载。

2.证书/CRL签发系统

证书CRL签发系统用来生成、签发数字证书和CRL。

(1)证书类型

按主体对象,证书通常可分为人员、设备和组织3种证书类型。按功能,可分为加密和签名2种,具体分类方式可根据实际需求设计。

(2)证书机制

当用双证书机制时,每个用户有两张数字证书:一张用在数字签名,另一张是信息加密。用户由有密码运算的证书载体生成数字签名的密钥对；由密钥管理系统产生信息加密的密钥对。签名与加密证书共同保存在用户的证书载体中。

(3)证书签发

该系统的CA签发用户的数字证书,根CA签发自己的证书,下级CA的数字证书由上级CA签发。

(4)CRL

CRL是在证书有效期内,CA签发的终止用证书的信息,分为用户证书作废列表(CRL)和CA证书作废列表(ARL)。证书使用过程中,应用系统由检查CRL/ARL,得到有关证书的状态。

3.证书CRL存储发布系统

证书CRL存储发布系统来存储和发布数字证书、CRL。

应用环境不一样的原因,证书/CRL存储发布系统可借数据库或目录服务方式,完成数字证书CRL的存储、备份和恢复,还有查询服务。

用目录服务方式可用主、从目录结构达到主目录服务器的安全。同时从目录服务器可分布式的方式设置来提高系统效率。用户只能访问从目录服务器。

4.证书CRL查询系统

证书CRL查询系统负责给用户和应用系统给出证书状态查询服务,包括：

①CRL查询:用户或应用系统用数字证书中标志的CRL地址下载它,并核实证书的有用性。

②在线证书状态查询:用户或应用系统由OCSP协议在线查证书的状态。

实际应用中,可由具体情况用以上两种查询方式之一或两者。

5.证书管理系统

证书管理系统是证书认证系统中完成申请、审核、生成、签发、存储、发布、作废、归档证书CRL的管理控制系统。

6.安全管理系统

安全管理系统主要含安全审计系统与安全防护系统。

安全审计系统审计事件,记录跟踪、统计和分析有系统安全的行为、人员、时间等。

安全防护系统可访问控制、入侵检测、漏洞扫描、病毒防治。