西部CA数字证书认证系统是基于SM2的数字证书认证系统，是在数字证书的生命周期内对数字证书进行全过程管理的安全系统，它的设计和实现遵循国家密码管理局颁布的《证书认证系统密码及其相关安全技术规范》、《数字证书认证系统密码协议规范》、《GB/T 20518-2006信息安全技术·公钥基础设施·数字证书格式》等标准规范，实现了数字证书的申请、审核、签发、发布，证书注销列表的生成签发、发布，数字证书状态的查询、下载等数字证书的生命周期管理功能。支持SM1、SM2、SM3等密码算法，能够满足企业自主建设CA系统的需求。

系统组成及功能

系统由证书签发系统、证书注册管理系统、证书/CRL存储发布系统、密钥管理系统和证书/CRL状态查询系统等部分组成。系统的结构大致如下：

证书签发系统

证书签发系统用来生成、签发数字证书

（1）证书类型

  按主体对象，证书通常分为个人、机构和设备三种证书类型。按功能，可分为签名和加密两种，具体分类方式可根据实际需求设计。

（2）证书机制

当用双证书机制时，每个用户签发两张数字证书：一张用于数字签名，一张用于信息加密。其中数字签名的密钥对在有密码运算的证书载体中产生，信息加密的密钥对由密钥管理系统产生。签名与加密证书共同保存在用户的证书载体中。

（3）证书签发

国家根CA向西部CA签发受信任的数字证书，由西部CA向系统用户和下一级CA机构签发数字证书。

证书注册系统（RA系统）

证书注册系统的证书服务功能主要包括证书的申请、签发、下载、发布、申请并下载、更新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询等操作。

证书CRL存储发布系统

证书CRL存储发布系统进行存储和发布数字证书和CRL。

由于用户应用环境不同，证书/CRL存储发布系统可借数据库或目录服务方式，完成数字证书、CRL的存储、备份、恢复和查询服务。

密钥管理系统（KM系统）

西部CA基于SM2的密钥管理系统是以PKI技术为基础的信息安全平台的重要组成部分。密钥管理系统负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。它支持公钥算法SM2算法，能够生成256位SM2密钥对，并且密钥对的存储也都基于国密算法加密保存，与CA的接口规范也完全依照国家密码管理局要求，完全遵循《证书认证系统密码及其相关安全技术规范》，满足了作为一个高规格CA认证中心系统应有的密钥需求。

密钥管理系统负责密钥的生成；备用、在用、归档不同形态的密钥的查询和统计；签发系统可申请密钥的设置和提供密钥服务；安全审计；安全管理。

证书/CRL状态查询系统

负责给用户和应用系统给出证书状态查询服务，包括：

（1）在线证书状态查询：用户或应用系统由OCSP协议在线查询证书状态；

（2）CRL查询：用户或应用系统用数字证书中标记的CRL地址下载并核实证书的有用性。

安全管理系统

安全管理系统主要包括安全审计系统和安全防护系统

安全审计系统：审计事件，记录跟踪、统计和分析与系统安全有关的行为、人员和时间等。

安全防护系统：可访问控制、入侵检测、漏洞扫描、病毒防治

应用场景

1.企业业务系统应用：供应链管理系统 、OA系统、财务系统

2.电子政务应用：网上报税、工商、公积金等、政府公共资源招投标系统、各类行政审批系统

3.电子商务应用：在线支付、电子合同