首页>产品介绍>PKI产品>超管CA企业版-产品白皮书

超管CA企业版-产品白皮书

一、企业为何需要自己的PKI系统

现在,大中型企业都已经基本上实现了企业管理的无纸化和网络化,各种重要业务已经依赖网络来进行。也正是由于企业已经越来越依赖内部管理信息系统,使得信息系统的信息安全就非常重要,主要问题有:

(1) 如何确保企业机密信息的安全 ( 机密性和完整性 ),这需要通过为服务器部署SSL证书来解决;

(2) 如何确保确实是合适的人在访问合适的机密数据,这就需要解决目前简单的用户名 / 密码方式的不安全的身份认证问题,需要通过部署客户端证书来解决 —— 强身份认证和加密。

而解决以上两大问题,PKI 技术是目前唯一的最好的解决方案,但企业不需要自己建一套 PKI 系统,而可以采用低成本的外包托管式的 PKI 解决方案。

二、企业可以购买外包CA管理服务来自己颁发全球信任的数字证书

在今天的互联网应用环境,企业需要一个低成本的解决方案来让员工或用户安全地访问公司的网络资源和各种应用。

WoSign 超管CA企业版 给企业提供了一个可以自己颁发各种数字证书 (SSL 证书、代码签名证书和客户端证书 ) 用于加密所有通过互联网传输的所有数据的安全解决方案,使得任何没有得到授权的其他方都无法获得企业的内部通信数据,让企业可以无需投资任何昂贵的软硬件设备和配制专业的人才就可以轻松拥有了自己的 CA 来为企业的员工、合作伙伴以及其他设备颁发各种数字证书,特别是客户端证书来取代简单的口令验证机制、取代电子邮件的明文文本方式的传输和取代基于硬件令牌的验证解决方案。

三、确保企业的安全访问、安全通信和安全的Web应用

超管 CA 为企业的 安全访问、安全通信和安全的 Web 应用提供了在线颁发和管理各种数字证书的外包管理解决方案。

1、安全访问

安全地通过互联网访问企业重要的核心的网络应用和数据库资源是提高企业的工作效率、创建一个安全连接供应商和合作伙伴而组成的可信交易环境的虚拟企业的必需,同时让客户放心地安全地在线完成与企业的交易也是企业业务成功的基本要求。 超管 CA 让企业可以方便地为访问企业核心网络资源 (VPN 、交易数据库 ) 的客户和员工颁发客户端数字证书来确保企业客户和员工能安全地访问这些核心网络资源,而企业无需投资额外的软硬件设备。

2、安全通信

安全通信主要指电子邮件通信,当然也可以指即时通信等,通过 超管 CA 颁发的客户端数字证书使得企业员工可以加密自己的电子邮件信息,可以让邮件的接收方明确确认发送者的真实身份和只要真正的接收人才能阅读此邮件。一旦客户端单位数字证书安装成功,现有的邮件客户端软件 (如 Outlook) 和邮件服务器软件无需做任何修改,但通信双方就可以安全地以密文的方式发送和接收电子邮件了,而电子邮件传输过程中经过各级 ISP 、各种网络设备和中转服务器都无法读懂电子邮件的内容 ( 即使被非常窃取 ),从而确保了企业的电子邮件信息的机密性和安全性,即使是企业员工不按规定把机密邮件转发给了第三方,第三方由于没有合法的对应的数字证书还是无法阅读,真正从技术手段上保证了电子邮件通信的安全和保密。

3、安全的Web应用

为了降低企业营运成本和为客户提供优质服务,现在企业已经把许多业务都搬到网络上了,都开始提供基于 Web 的应用和交易。但交易双方之间的数据传输安全和身份认证是必须考虑的大问题,服务器端必须部署了 SSL 证书来保证客户端浏览器与服务器之间的数据传输是加密传输的,而确保访问用户的身份则由客户端证书来保证。企业可以通过 超管 CA 为每个网站和每个应用系统颁发服务器端 SSL 证书,为每个在线交易的用户颁发一个客户端数字证书,让客户端数字证书和口令验证方式相结合,从而确保指定的合法用户 ( 员工、客户、供应商、合作伙伴等 ) 能通过互联网与企业实现数据加密的身份已经得到认证的安全的交易和网上应用。

4、安全可靠的文件交换

目前企业信息化应用的最后一个障碍是签订有纸合同和有关文件后邮递交换签字文件,这是电子商务的最后一道障碍。为了彻底实现无纸化和数字化,必须在供应链和文件处理上实现文件的数字签名和加密后通过网络传递和交换。企业可以利用超管 CA- 企业版为供应商、合作伙伴、员工等颁发 PDF 文件签名和加密证书来实现各种文件的安全可靠交换。数字签名 PDF 文件受《电子签名法》保障,具有同纸质签名 ( 盖章 ) 一样的法律效力。而 PDF文件加密则能确保重要商业机密文件只有有权查看此文件的人才能查看。

四、工作原理

超管 CA - 企业版 为企业在 WoSign 通过国际审计和国内安全审计的 PKI/CA 系统中设立一个企业专用的中级根证书,企业可以定制此根证书的名称,一般命名为: 某某企业 CA (如: Qihoo 360 Enterprise CA ),系统不仅提供 API 接口,允许在企业内部管理系统中直接集成 PKI 接口,颁发各种数字证书。同时,还提供一个企业自己品牌的 HTML 管理界面,企业指定的系统管理员可以在线颁发各种数字证书,还可以在线免费重新颁发证书、在线吊销证书 ( 如离职的员工 ) 、在线续期证书和在线管理系统所签发的各种证书。这就是一个完整的外包服务方式的企业 CA ,相当于企业没有投资任何软硬件系统就拥有了一个全球信任的 CA 来颁发全球信任的各种数字证书。而企业自己独立设立一个私用 CA 颁发的数字证书则既要投资软硬件和专人人才,又不支持所有浏览器和其他应用,用户使用时浏览器会提示 “ 此数字证书由您不信任的机构颁发 ” ,要求用户安装私用 CA 的根证书,大大不方便最终用户的使用。

企业的 CA 系统管理员可以随时为企业员工、合作伙伴和用户颁发客户端证书,系统管理员对数字证书申请人进行身份验证后就可以颁发数字证书给申请人了,申请人会收到一个 HTML 格式的电子邮件 ( 页面有企业的名称等信息 ) ,要求用户点击一个链接就可以把数字证书安装到操作系统中。

同 WoSign “数字证书商店”不同的是:超管 CA 系统签发的证书都是从企业自己专用的中级根证书签发,而不是同其他证书一样从 WoSign 中级根证书签发,如下图所示,左边为普通用户购买单位超真 SSL 证书的证书链,其中级根证书为 WoSign Class 3 OV Server CA ;而右边为超管 CA 企业版用户 ( 如: 360) 签发的单位超真 SSL 证书链,其中级根证书为企业专用中级根证书 ( 如: Qihoo 360 Enterprise CA) :

超管CA企业版 超管CA企业版

五、按需选购

超管 CA - 企业版分:中小企业版和大企业版,企业可根据自己的需要选购:

超管 CA - 中小企业版:所有证书在其定制的中级根证书下颁发,但证书吊销列表 (CRL/OCSP/AIA) 仍然使用 WoSign 域名的网址指向 WoSign CRL/OCSP/AIA 服务器,也就是说同其他用户一起公用吊销列表服务器资源。适合于需要颁发 100 张以上 1000 张以下的数量的各种数字证书的企业,或需要推广自己品牌的大网站。

超管 CA - 大企业版:所有证书在其定制的中级根证书下颁发,但证书吊销列表 (CRL/AIA) 将使用企业自己的域名的网址指向到与企业 Web 服务器在同一机房的独立专用吊销列表服务器中 ( 这些服务器以及其带宽用企业自己负担,沃通免费提供系统软件 ) 。也就是说 CRL/AIA 不同其他用户公用吊销列表服务器资源,而 OCSP 服务器使用企业的域名但仍然使用我们的服务器资源。适合于需要颁发 1000 个以上的数量的各种数字证书的大企业,或需要推广和保护自己品牌的大网站。

六、优势分析

对于有各种网站和应用系统需要颁发服务器 SSL 证书和 / 或需要给员工、客户颁发客户端数字证书用于在线业务 ( 如电商、第三方支付、网上证券等 ) 的企业,目前的解决方案是企业自己设立一个 CA 系统,自己颁发客户端数字证书给需要的用户,但这种解决方案有两大问题:

(1) 企业需要投资昂贵的软硬件系统和网络安全系统,还有配备专业的人才来管理和维护自己的 CA 系统;

(2) 最大的问题的是企业私用 CA 颁发的数字证书,不支持所有浏览器和其他应用软件,这样,每个客户需要安装企业私用 CA 的根证书,不仅非常麻烦,更重要的是,每次使用浏览器从事在线业务时浏览器会不友好地提示用户说不可信任,严重影响用户的体验和给中间人攻击提供了便利。

我们认为:企业最明智的选择是购买 PKI 管理外包服务来建立企业 CA ,让可信任的第三方 CA 利用其现成的 PKI 系统来在线管理您企业的 CA 系统,这样,您就可以专心做您自己的业务,而不用购买和管理复杂的、昂贵的 CA 系统。而超管 CA- 企业版是 WoSign 推出的业界唯一的支持中文应用环境的外包服务方式的企业 CA 解决方案,企业可以在线通过 Web 方式完成 CA 应有的所有功能,包括证书申请和颁发、证书吊销、重新颁发和续期等。WoSign 顶级根证书已经预置在所有浏览器中,所有浏览器、电子邮件软件、服务器软件等都支持 WoSign 数字证书,这样企业使用超管 CA 产品颁发的各种数字证书,用户都无需安装和下载任何根证书就可以放心使用,大大方便了用户的使用,提高了用户满意度,大大方便企业的客户端数字证书系统的应用推广和普及,让用户放心从事在线交易和其他在线业务。

既然现在已经有了如此方便和节省投资的企业 CA 解决方案,还不赶紧 联系我们