产品概述

• 随着我国电子商务、电子政务等网络应用的快速发展，越来越多的机构和企业正在构建以PKI（Public Key Infrastructure,公钥基础设施）为基础的网络安全信任体系。PKI体系的核心是数字证书认证中心CA（Certificate Authority）及由CA颁发的数字证书。和现实社会的一样，数字证书是网络世界的，并进一步实现敏感信息的机密性、完整性及不可抵赖性。因此，数字证书认证中心是网络安全信任体系的基石。

• 格尔软件在PKI体系建设方面积累了丰富的经验，格尔数字证书系统结构严密、功能强大、稳定可靠。系统由证书认证系统（CA）、证书注册系统（RA）、目录服务系统（LDAP）、在线查询系统（OCSP）及时间戳系统等子系统组成完整的PKI公钥基础设施，该系统同时支持SM2和RSA算法，提供完备的数字证书全生命周期的管理。该系统在我国得到广泛应用，为国家网络信任体系建设、为电子商务和电子政务的信息安全体系建设发挥了重要作用。

• 随着国家标准密码算法(SM1, SM2, SM3)的发布，格尔软件时间发布了适用于国家标准密码算法的格尔数字证书认证系统产品，并在2009年参加了产品的安审和鉴定，获得相关的资质和证书(SZT090 1. SYT090 1. SRT0903)，成为获得国家标准密码算法支持的公钥基础设施产品提供商。

• 可实现快速平滑升级，全面支持国产化，包括主流国产芯片平台、国产操作系统、国产数据库、国产中间件等。

产品系列

• 格尔数字证书认证系统产品根据证书容量和功能划分成以下三个系列：

• 企业版的证书设计容量为1万，适用于中型企事业单位及中小企业用户，系统以硬件服务器的形式提供，也可以根据客户需求进行系统定制，由客户自行选择密码设备和数据库，具有部署快捷、操作简单、维护方便、管理简单等优点。

• 大客户版的证书设计容量为1万~50万，面向政府部门、大型企业和金融机构等用户，提供完善的开发接口，可以应对客户的复杂需求，如接入其它第三方CA或RA系统等。

• 运营中心版主要提供给区域CA和运营CA，证书容量设计为500万以上。

产品功能

企业版

• 格尔企业版CA证书设计容量为1万张以下，主要面向大中型企事业单位及中小企业用户。格尔企业版CA是完整的CA系统，在系统结构上和大型CA一致，包括有证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分。

• 格尔企业版CA以一体化的硬件服务器形式提供（推荐模式），也可以根据客户需求进行系统定制。格尔企业版CA提供如下完备的证书管理功能：

  • 用户信息注册/签发；
  • 用户信息更新；
  • 证书恢复；
  • 证书废除；
  • 证书重发；
  • 微软智能卡证书/计算机证书/域控制器证书签发；
  • 证书注销列表（CRL）与CA证书下载；
  • 具备完备的产品管理功能，如系统备份/恢复、系统在线升级、系统日志查询、License在线升级、管理员管理、网络配置等。

• 如果企业版以软硬一体化方式提供，还提供内置LDAP服务。

大客户版

• 大客户版CA面向政府部门、大型企业和金融机构等用户，提供有完善的配套软件和开发接口，允许第三方KM、CA或RA系统接入。大客户版CA涵盖企业版CA的所有证书功能，同时提供以下高级特性：

  • 分级CA管理；
  • 证书策略管理；
  • CRL策略管理；
  • 证书模板管理；
  • RA管理；
  • 证书库统计。

运营中心版

• 专门针对证书运营中心建设，支持500百万以上的证书容量，在我司此类产品中具备较高的安全措施、管理审计机制和权限分配机制。

产品特性

基本特性

• 自主知识产权，符合国家密码管理政策，符合国际通用标准规范；
• 同时支持SM2, SM3, SM4, RSA1024和RSA2048算法；
• 支持x.509v3的证书格式；
• 支持CA的树状信任模式，即系统可以支持CA多级扩展和多级认证；
• 基于B/S结构的管理界面，内嵌Web Sever，采用https安全远程管理机制进行安全登录；
• 支持签发电子邮件证书和对应的证书发布模式，可以使用OutLook Express，OutLook，Foxmail等进行电子邮件的加密和签名；
• 支持签发用户证书，SSL客户端证书，机构证书，设备证书，VPN证书；
• 强大易用的部署向导帮助用户快速进行产品部署；
• 针对中小应用，表现为易于部署与使用的硬件服务器；
• 支持内部日志和以SYSLOG方式向外发送日志；
• 支持签发SM3WITHSM2的证书；
• 支持国家标准介质接口。

高级特性

• 具有灵活的策略配置机制，可自定义证书策略；
• 支持MofN的安全登录机制；
• 支持管理与审计互相独立的二线三层的权限管理体系；
• 支持操作员权限的细分；
• 基于LDAP的证书和CRL发布，支持分块CRL与增量CRL发布；
• 支持基于HTTP的CRL发布；
• 支持直接使用国家标准接口或CSP接口模式签发双证书，无缝接入新的证书介质；
• 支持基于SM1/SSF33算法的密钥不落地机制；
• 支持双人制的管理模式；
• 支持批量注册、批量审核、批量签发和批量废除等批量化操作。

兼容与扩展特性

• 支持Windows、AIX、Solaris、HP Unix、Linux等操作系统平台；
• 支持Iplanet Directory Server，IBM Directory Server，ITec Directory Server，Active Directory等多种LDAP发布系统；
• 支持国产的金仓、南大、达梦数据库及Oracle、DB 2. Sybase、MSSQL等主流数据库；
• 支持接入第三方KM、CA、RA；
• 跨平台支持SJY42C、SHJ0901-B、SJJ1012. SJJ1115. SJY42. SJY15-C、SJL22等多种加密机；
• 具备百万级以上的证书服务管理能力。

特别特性

• 支持签发微软的智能卡登录证书、域控制器证书、计算机证书，可以配置使用ActiveDirectory发布证书与黑名单，配合使用可以实现微软的智能卡登录，安全锁定工作站，因特网访问控制服务(IAS)；
• 支持代码签名证书发放；
• 支持备份发布机制；
• 支持使用内嵌式数据搭建测试系统；
• 支持使用内嵌简易的用户密钥管理模块进行无KM测试。

部署示意图