PKI/CA的部署与工程实施

　　通过建立数字证书认证中心（CA，Certification Authority）来保证电子商务、电子政务活动的安全是必由之路。无论国外还是国内都已经建立了众多的数字证书认证中心（CA），大到国家级的，小到企业级的都拥有了自己的CA。但是，目前国内外各行各业对CA技术本身讨论的比较多，对CA这样一个信息安全的系统集成工程来说，对CA的部署与建设过程中的问题却讨论得比较少。然而，在现实生活中，正是在这些CA的建设过程中，还或多或少地存在着大大小小的问题，需要从事CA建设工作的人员引起高度重视。　　

　　无论国外还是国内的PKI/CA工程建设，大致都可以分成六个步骤进行：项目的初始化阶段、需求分析与设计阶段、CA系统的开发与测试阶段、安装、集成与测试阶段、试运行与系统更改阶段和运营与维护阶段。其中，各个阶段都有所要完成的任务和达到的目标要求。 　　

　　项目的初始化 　　

　　CA项目的部署与工程实施，不同于以往的IT项目，因此CA项目的初始化阶段，也称为计划阶段，显得更为重要了。因为CA是公钥基础设施（PKI）的关键组成部分，因此关于CA建设规划的好与坏关系到整个基础设施的成功与否。而CA部署是否成功、是否顺利、最终建设的系统是否可以满足最终用户当初的建设需求等，这些关键性的问题都要在这个阶段进行重点规划和解决。这个阶段的工作主要需要由四项子任务构成：整个项目的规划、确定整个项目的发起人和项目的主管领导、对项目的范围进行界定、完成项目的控制和管理计划并存档。 　　

　　需求分析与设计 　　

　　任何项目都有需求分析和设计阶段，PKI/CA的工程项目也不例外。对于CA/PKI这样一个信息系统的关键基础设施而言，在工程实施之前同样需要很好地理解这个系统建设的需求，需要处理和解决一些关键性问题，即对应用系统（主要指将来应用该PKI/CA的上层应用系统）需要安全级别的理解和分析；对PKI/CA系统的运营管理政策（规范）和CA证书政策的规划、分析和设计；对PKI/CA系统互操作问题的设计；对PKI/CA（所要建设的CA系统）的外围条件、设备的需求分析与设计；对整个PKI/CA系统管理和操作流程的规划和设计。 　　

　　PKI/CA的开发与测试 　　

　　目前，多数PKI/CA系统的建立，都是通过采用市场上技术成熟的PKI/CA产品。因此，在具体PKI/CA项目的实施过程中，对PKI/CA系统本身的开发工作并不是很多，只是需要根据用户的具体需求，将产品中不满足要求的功能、流程等进行修改。而PKI/CA系统的测试工作，是PKI/CA部署过程中一个工作量比较大的阶段。因为PKI/CA系统是一个对上层应用提供安全保障的基础设施，因此对这个基础设施进行全面测试的重要性就显而易见了。 　　

　　在这个阶段主要需要完成三项子任务：目标PKI/CA系统功能的确定与修改（开发）、目标PKI/CA系统功能的测试、PKI/CA系统操作人员的培训。 　　

　　安装、集成与测试 　　

　　在这个阶段，对PKI/CA项目而言，更侧重于对项目安全性进行控制，主要包括对PKI/CA目标运行地点的安全性加固、对PKI/CA运行平台进行安全性加固、对整个系统在目标地点和平台进行安装和集成测试、安装客户端应用系统对PKI/CA系统进行测试、对PKI/CA系统的性能进行测试等。 　　

　　经过这个阶段工作，可以说PKI/CA系统的建设已经接近尾声了。此时的PKI/CA系统，已经具备了需求定义中的要求和功能。同时，系统具备了进入试运行的条件　　

　　试运行与系统更改 　　

　　系统的试运行，是为了在实际环境中对所建设的系统进行更好的测试。在试运行阶段，应该使所建设的PKI/CA系统，为所有将来要使用的目标应用提供安全服务。在这个阶段中，由于应用的要求或最终用户的需求不同，可能会对PKI/CA系统的某个方面或功能进行修改和完善。这是一个正常的过程，但对PKI/CA系统的功能、流程等方面的修改需要慎重。 　　

　　运营与维护 　　

　　在这个阶段，整个PKI/CA系统将移交到PKI/CA日常运营和管理部门。PKI/CA的日常运营和管理部门，将依据运营管理政策（规范）对PKI/CA中心进行管理；依据CA证书政策规范对终端用户（应用）进行管理。同时，终端用户（应用）也应该符合证书政策规范规定的内容。这些文件的规划、设计与制定，需要在项目的第二阶段（需求分析与设计阶段）完成。在PKI/CA系统运营一定时间后（或过程中），将由PKI/CA系统的承建单位与运营单位，联合对系统进行维护（或定期维护），以解决运营中的问题，提高系统对外部应用的适应性和服务能力。 　　

　　应该注意的主要问题 　　

　　根据实际工程的经验，针对目前国内CA工程的实施过程，我们认为在不同的阶段需要注意一些主要问题。　　

　　项目范围界定不清。在工程的初始化阶段，由于没有明确定义本次工程中PKI/CA所覆盖或应用的范围，因此在工程实施过程中，会经常遇到PKI/CA部件如何部署的问题，如部署的位置、部署的数量以及部署的安全强度等问题。 　　

　　项目的需求分析和设计阶段时间短，不能达到预期的目标。由于现在的许多项目，都存在着时间紧、任务急等方面的原因，在工程的前期不能留出充足的时间对所从事的项目进行很好、很全面的需求分析和系统设计，因此导致工程进行中需求不断变更，特别是针对PKI/CA应用的需求不断变更，导致工程延期，不能按预期的时间结束。 　　

　　在开发和测试阶段，同样也存在着需求不明确、功能定义不完善，以及测试人员资源不足的情况。因此导致所开发出来的系统不能完全满足用户的真正需求。 　　

　　系统建设不能如期完成。由于大多数的PKI/CA项目，从考察、招标、设计、建设一直到运营这个过程，所经历的时间越来越短，不能有充足的时间进行整个系统的统筹安排，导致系统的建设不能如期完成。这一点在设备的选择和订购方面体现得十分突出。现在的PKI/CA实施和部署技术已经比较成熟，反而是大多数的PKI/CA工程都因为系统所依附的硬件、系统软件、网络设备等方面的延迟到货而导致整个工程的延误，这不能不引起足够的重视。这种延误正是在系统需求和设计确定后，没有及时地进入设备采购程序的结果。现在这个问题越来越突出，需要所有的PKI/CA用户，以及PKI/CA的实施和部署队伍注意。