【基于Linux的web證書服務(wù)設(shè)計研究7300字（論文）】

目錄TOC\o"1-3"\h\u96891引言 161132基于Linux的web證書服務(wù)設(shè)計 1105822.1設(shè)計目標(biāo) 1122202.2整體設(shè)計 2225012.2.1系統(tǒng)框架設(shè)計 2108262.2.2服務(wù)定義 470822.2.3業(yè)務(wù)流程設(shè)計 4292632.3模塊具體設(shè)計 61952.3.1證書服務(wù)中心設(shè)計 697782.3.2泛RA服務(wù)模塊設(shè)計 7275672.3.3實體用戶服務(wù)模塊設(shè)計 8167113基于Linux的web證書服務(wù)的實現(xiàn) 9143403.1證書服務(wù)中心的實現(xiàn) 9287213.2泛RA服務(wù)模塊的實現(xiàn) 11106683.3實體用戶服務(wù)模塊的實現(xiàn) 1329088參考文獻 15基于Linux的web證書服務(wù)設(shè)計與實現(xiàn)摘要：公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè)施，為應(yīng)用提供身份認證、加密、數(shù)字簽名、時間戳等安全服務(wù)。數(shù)字證書認證中心（CA）是其核心部件，它的主要任務(wù)是數(shù)字證書、證書廢除列表CRL的簽發(fā)及管理。PKI已廣泛用于保障電子商務(wù)和電子政務(wù)的安全。然而，需要使用PKI技術(shù)的機構(gòu)用戶并非都具有設(shè)立自己的PKI系統(tǒng)的技術(shù)和硬件條件，這些機構(gòu)用戶希望不設(shè)立相關(guān)系統(tǒng)，即能享受PKI技術(shù)的相關(guān)服務(wù)。于是，一些數(shù)字證書的公司開始提供基于PKI技術(shù)的服務(wù)，這些服務(wù)被稱為證書服務(wù)（也稱PKI服務(wù)）。證書服務(wù)的出現(xiàn)，使PKI的應(yīng)用更加全面，也為一些中小型機構(gòu)帶來了福音。本文對證書服務(wù)的現(xiàn)狀作了探討和分析，針對其中的托管服務(wù)提出了存在的問題，探討了解決方案—采用WebService技術(shù)，整合兩種托管服務(wù)，分模塊實現(xiàn)服務(wù)安全性等，并在這些分析的基礎(chǔ)上對基于Linux的web證書服務(wù)應(yīng)用系統(tǒng)作出了設(shè)計，并加以實現(xiàn)。關(guān)鍵詞：Linux；web；證書服務(wù)；PKI；JSP1引言PKI作為網(wǎng)絡(luò)安全最基本的技術(shù)，正得到日益廣泛的應(yīng)用，為電子商務(wù)、電子政務(wù)等網(wǎng)上交易與活動保駕護航。近年來大部分的系統(tǒng)都融入了SoftwareasAService的概念，SOA也已經(jīng)越來越多的融入到各種系統(tǒng)中，作為安全基礎(chǔ)設(shè)施，PKI也應(yīng)該作相應(yīng)調(diào)整。此外，對于安全的需求，使PKI技術(shù)的使用者擴展到了不少中小型機構(gòu)，然而并非所有這些機構(gòu)都具有自己PKI系統(tǒng)的條件，如何讓這些機構(gòu)在不架設(shè)PKI系統(tǒng)的情況下也能享受到PKI帶來的服務(wù)，也成為了一個重要問題。對應(yīng)上面兩個問題，證書服務(wù)孕育而生，為PKI應(yīng)用提供了多元化的發(fā)展。然而證書服務(wù)的一些模式亦存在著一些問題，如果能夠在證書服務(wù)的實現(xiàn)成本和服務(wù)整合，以及服務(wù)本身的安全性方面做更多的探索，將大大推動證書服務(wù)的發(fā)展與普及。2基于Linux的web證書服務(wù)設(shè)計2.1設(shè)計目標(biāo)基于第二、三章的技術(shù)研究和的分析，我們可以設(shè)計一套基于WebService的證書服務(wù)。該服務(wù)將提供較為全面的證書管理所需要的一系列操作，另外，此證書服務(wù)還提供如數(shù)據(jù)存儲、發(fā)放實體證書等可選服務(wù)模塊，用戶可以根據(jù)實際情況選擇。具體設(shè)計目標(biāo)包括：1.全面的服務(wù)內(nèi)容此證書服務(wù)提供除：個人證書以及服務(wù)器證書的申請、證書申請、證書更新、證書撤銷、證書狀態(tài)查詢等服務(wù)外，還提供針對機構(gòu)用戶的完全托管證書服務(wù)(ManagedPKIService)和定制托管證書服務(wù)(PKIHostingService)。2.模塊化可選服務(wù)此證書服務(wù)除核心服務(wù)外，根據(jù)用戶需要提供模塊化可選服務(wù)，包括：#fill。此外，證書申請、更新等服務(wù)可選擇不同方式—如CA產(chǎn)生私鑰對發(fā)送給實體用戶，或只發(fā)送公鑰到CA，等等。3.統(tǒng)一接口、可用性可擴展性強服務(wù)的接口和地址等都基于標(biāo)準進行定義，具體實現(xiàn)的語言和平臺沒有特殊限制，通信相關(guān)的實現(xiàn)較簡單，具有可擴展性強和便于與其他系統(tǒng)整合的特點。4.安全性佳通信消息內(nèi)容中的重要部分的安全性和完整性得到保證、發(fā)送方和接收方的身份可以得到認證。消息的路由不被加密，可以被中間點讀取，順利轉(zhuǎn)發(fā)至指定接受方(Endpoint)。2.2整體設(shè)計2.2.1系統(tǒng)框架設(shè)計證書服務(wù)的系統(tǒng)框架主要分為三塊：證書服務(wù)中心、RA、實體用戶?？蚣茉O(shè)計如圖2-1所示：圖2-1證書服務(wù)系統(tǒng)的框架設(shè)計證書服務(wù)中心—提供證書服務(wù)，是整個系統(tǒng)的核心。其中：1.證書服務(wù)接口，接收來自RA部分的申請消息；2.分發(fā)模塊，主要負責(zé)將消息按照操作的類型和客戶類型等進行分發(fā)處理；3.CA模塊，是業(yè)務(wù)核心模塊，主要負責(zé)證書簽發(fā)、證書更新、證書撤銷、發(fā)布CRL等；4.數(shù)據(jù)存儲模塊，負責(zé)存儲用戶和證書的相關(guān)數(shù)據(jù)；5.實體用戶模塊，是整個服務(wù)與證書實體用戶之間的窗口，其中包括用于證書下載安裝/驗證的服務(wù)中心Web網(wǎng)站，和Email發(fā)送兩個子模塊。泛RA方面—證書服務(wù)的RA方面，接受服務(wù)的方法可以通過以下三種：1.特殊RA，主要負責(zé)如站點證書申請/更新/撤銷、LRA證書申請/更新/撤銷，以及個人用戶業(yè)務(wù)等；2.LRA自開發(fā)系統(tǒng)，指機構(gòu)用戶根據(jù)服務(wù)定義的接口，與原有系統(tǒng)整合，或開發(fā)相應(yīng)系統(tǒng)。LRA通過此自開發(fā)系統(tǒng)可接受證書服務(wù)中心提供的定制托管服務(wù)(PKIHostingService)；3.審批中心網(wǎng)站，為沒有自開發(fā)系統(tǒng)的LRA提供服務(wù)平臺，當(dāng)LRA獲得對應(yīng)的審批證書后，即可登入審批中心網(wǎng)站進行證書服務(wù)的相應(yīng)操作。審批中心網(wǎng)站的設(shè)立是為了向一些中小型機構(gòu)用戶提供完全托管服務(wù)/RA托管服務(wù)(ManagedPKIService)。實體用戶—證書實體用戶，只需擁有基本的網(wǎng)絡(luò)連接、郵箱地址和瀏覽器，即可接收證書服務(wù)。證書服務(wù)將通過Email發(fā)送通知和Web鏈接，由用戶在Web網(wǎng)注冊安裝證書(CertificateEnrollment)以及通過Email直接發(fā)送證書等形式，向?qū)嶓w用戶提供服務(wù)。2.2.2服務(wù)定義證書服務(wù)中心提供以下種類的服務(wù)：1.證書申請–包括實體個人證書申請，以及站點證書申請。實體個人證書申請中可選擇：(a)由證書服務(wù)中心生成密鑰對，或者(b)用戶自己生成密鑰對兩種方式。2.證書更新–包括實體個人證書更新，以及站點證書更新。實體個人證書更新中可選擇：(a)由證書服務(wù)中心生成新的密鑰對，或者(b)用戶自己生成新的密鑰對兩種方式。3.證書撤銷–由于密鑰泄漏，或者用戶狀態(tài)發(fā)生變化時，由LRA或者實體用戶通過LRA可進行證書撤銷。被撤銷證書將被加入CRL列表。4.證書查找–LRA或用戶可以通過證書的序號、主體名、頒發(fā)者、有效期限、經(jīng)辦人等信息對證書進行查找。查找后返回證書詳細信息以及公鑰證書的下載URL地址。5．證書狀態(tài)查詢–可以通過證書的頒發(fā)者以及序號對相應(yīng)證書的狀態(tài)作查詢。2.2.3業(yè)務(wù)流程設(shè)計1.證書服務(wù)整體流程完整的證書服務(wù)的典型業(yè)務(wù)流程的設(shè)計如圖4-2所示：圖2-2證書服務(wù)完整業(yè)務(wù)流程對應(yīng)上一節(jié)服務(wù)定義中的核心服務(wù)內(nèi)容，分別對證書申請、證書更新、證書撤銷服務(wù)設(shè)計業(yè)務(wù)流程。2.證書申請流程證書申請有兩種可選方式：(a)用戶自己不產(chǎn)生密鑰對，由證書服務(wù)中心一并產(chǎn)生；(b)用戶自行產(chǎn)生密鑰對，后將標(biāo)準格式的證書申請（PKCS#10）發(fā)由證書服務(wù)中心批準。證書申請(a)、(b)方式的流程如圖2-3和圖2-4所示：圖2-3證書申請流程(a)圖2-4證書申請流程(b)3.證書撤銷流程證書撤銷可由實體用戶向LRA提出，再由LRA審核后向證書中心提交撤銷申請；也可由LRA根據(jù)實體用戶及其所屬單位的相關(guān)變化，直接向證書中心提交撤銷申請。證書撤銷流程如圖2-7所示：圖2-7證書撤銷流程2.3模塊具體設(shè)計2.3.1證書服務(wù)中心設(shè)計證書服務(wù)中心是證書服務(wù)的提供者，主要由證書服務(wù)接口、分發(fā)模塊、CA模塊、數(shù)據(jù)存儲模塊、實體用戶服務(wù)模塊組成。實體用戶模塊的設(shè)計將在后面介紹，這里對其余子模塊的設(shè)計進行描述：證書服務(wù)接口，是指連接泛RA方面，接受其服務(wù)申請并返回結(jié)果的接口。證書服務(wù)中心與泛RA方面的通信采用SOAP協(xié)議。在前面的整體設(shè)計中已經(jīng)描述了服務(wù)定義語言WSDL的設(shè)計，定義了與泛RA方面的服務(wù)操作（Operations）通訊的請求與相應(yīng)消息的格式（Message）等。因此證書服務(wù)接口相當(dāng)于是WebService中的Skeleton模塊，即證書服務(wù)中心內(nèi)部消息參數(shù)與標(biāo)準的由WSDL定義的通信消息之間的轉(zhuǎn)換模塊。分發(fā)模塊，根據(jù)通信消息中的操作類型（如申請、更新，還是查詢等）、申請證書的制定頒發(fā)機構(gòu)(issuer)、操作員ID(OperatorID)等信息，將消息分發(fā)給不同的功能模塊。CA模塊，是真正執(zhí)行證書服務(wù)業(yè)務(wù)邏輯的核心。CA模塊以功能模塊的方式，又分為申請管理簽發(fā)、存儲、密鑰管理、驗證、OCSP以及維護等模塊。申請管理模塊封裝了證書申請、證書撤銷申請以及申請信息管理（條件查找、否決、刪除）等功能。簽發(fā)模塊用于證書、CRL的簽發(fā)。存儲模塊用于證書、CRL的存取。密鑰管理封裝了密鑰對產(chǎn)生、密鑰對存取以及密鑰對管理（備份、恢復(fù)）。驗證模塊需要使用存儲模塊來獲取證書的狀態(tài)，從而可以驗證證書的有效性。OCSP模塊以驗證模塊的驗證性為基礎(chǔ)，提供了解析OCSP請求（OCSPRequest）以及生成相應(yīng)的OCSP響應(yīng)（OCSPResponse）的功能。維護模塊主要用于CA的日常維護，它以計劃的方式定期執(zhí)行數(shù)據(jù)備份、垃圾信息清除以及過期證書檢查等等行為。數(shù)據(jù)存儲模塊又分為兩層：數(shù)據(jù)層與數(shù)據(jù)集成層。數(shù)據(jù)層為系統(tǒng)的持久數(shù)據(jù)源（例如數(shù)據(jù)庫等），該數(shù)據(jù)源保存了證書/證書撤銷申請信息、已簽發(fā)的證書信息、證書的撤銷列表、密鑰庫以及系統(tǒng)的日志信息等等PKI系統(tǒng)中需要持久化的相關(guān)信息。數(shù)據(jù)集成層的主要功能是為其他模塊的應(yīng)用提供一個訪問數(shù)據(jù)層的方式。它封裝了對數(shù)據(jù)層訪問的具體細節(jié)，這樣業(yè)務(wù)邏輯層不與數(shù)據(jù)層直接交互，所以就無需關(guān)心數(shù)據(jù)層的相關(guān)細節(jié)。該層中的“申請信息”、“證書信息”、“撤銷列表”、“密鑰對”以及“日志”五個模塊分別封裝了數(shù)據(jù)層中申請信息、證書信息、撤銷列表、密鑰庫和日志五個數(shù)據(jù)源。封裝的典型方式是對象－關(guān)系映射（Object-RelationalMapping）。數(shù)據(jù)集成層中還有一個DAO（DataAccessObject，數(shù)據(jù)訪問對象）模塊，該模塊的主要功能是用于實現(xiàn)復(fù)雜的或是大規(guī)模的數(shù)據(jù)查詢，例如檢索或是分頁。因為系統(tǒng)如果使用對象－關(guān)系映射實現(xiàn)數(shù)據(jù)訪問封裝時，大量的結(jié)果數(shù)據(jù)會造成系統(tǒng)在數(shù)據(jù)集成層處會有大量的對象，這樣會非常耗費系統(tǒng)資源，使用DAO模塊可以很好的解決這個問題。2.3.2泛RA服務(wù)模塊設(shè)計從2.2.1節(jié)整體設(shè)計框圖2-1可知，泛RA方面分為三塊：特殊RA、LRA用戶系統(tǒng)接口、審批中心網(wǎng)站。其中，特殊RA與審批中心網(wǎng)站由證書服務(wù)中心實現(xiàn)建立、運行與維護。特殊RA，由證書服務(wù)中心建立，其運行管理人員和維護人員也由證書服務(wù)中心指派。特殊RA主要負責(zé)站點證書的申請受理、審批，和無對應(yīng)LRA的個人用戶證書的申請受理、審批，以及一些特殊用途證書的業(yè)務(wù)受理（如代碼簽名證書等）。特殊RA的構(gòu)成主要由應(yīng)用程序主體、與證書服務(wù)中心的接口、用戶注冊管理及數(shù)據(jù)備份的數(shù)據(jù)系統(tǒng)等組成。LRA用戶系統(tǒng)接口，一般由機構(gòu)用戶根據(jù)自己原有待整合系統(tǒng)與數(shù)據(jù)，及服務(wù)定義WSDL進行開發(fā)。簡單地說，LRA用戶系統(tǒng)接口相當(dāng)于是WebService中的Stub功能模塊，它可以用任何語言在任何平臺上實現(xiàn)。審批中心網(wǎng)站，主要針對沒有條件自己建立LRA用戶系統(tǒng)接口和配套應(yīng)用系統(tǒng)的機構(gòu)用戶，為他們提供輕松登錄，進行業(yè)務(wù)受理、審批作業(yè)的平臺。審批中心網(wǎng)站采用B/S架構(gòu)，機構(gòu)用戶無需安裝客戶端，亦免去了服務(wù)升級或需要改動時對客戶端的影響。同時，審批中心網(wǎng)站與證書服務(wù)中心之間的通信建立WebService技術(shù)上，基于統(tǒng)一的WSDL服務(wù)定義，這樣的松耦合還將增強模塊獨立性，減少改動時的相互影響。2.3.3實體用戶服務(wù)模塊設(shè)計實體用戶服務(wù)模塊，是指證書服務(wù)中心與實體用戶交互的模塊，是證書中心的一個部分。實體用戶服務(wù)模塊主要包括兩個子模塊，即Email系統(tǒng)與實體用戶服務(wù)中心網(wǎng)站。Email系統(tǒng)負責(zé)對實體用戶發(fā)送郵件。發(fā)送的郵件包括更新提醒通知郵件、證書安裝鏈接郵件、證書寄送郵件、撤銷結(jié)果告知郵件、暫停服務(wù)通知郵件等。幾乎每個與實體用戶相關(guān)的服務(wù)都少不了發(fā)送郵件的服務(wù)，服務(wù)操作內(nèi)容與郵件服務(wù)的具體關(guān)系描述如下：1.證書申請(a)（證書服務(wù)中心生成密鑰對申請方式）--由于證書的密鑰對由證書服務(wù)中心生成，因此用戶無需登錄服務(wù)中心網(wǎng)站進行證書注冊安裝（Certficateenrollment），只需用郵件服務(wù)直接將公私鑰證書寄送給用戶即可，此郵件稱為“證書寄送郵件”。2.證書申請(b)（用戶自行生成密鑰對申請方式）--如果證書的密鑰對由用戶自行產(chǎn)生后，以標(biāo)準證書申請格式發(fā)送給證書服務(wù)中心，若申請成功，實體用戶還需要登錄服務(wù)中心網(wǎng)站進行證書注冊安裝（Certficateenrollment）。服務(wù)中心網(wǎng)站的URL和隨機碼（challengecode）由證書服務(wù)中心的郵件告知，此郵件稱為“證書安裝鏈接郵件”。3.證書更新(a)（證書服務(wù)中心生成新密鑰對申請方式）--首先由證書服務(wù)中心發(fā)送“更新提醒通知郵件”，提醒用戶證書的有效期限，告知用戶更新申請的截至?xí)r間。之后的操作與證書申請(a)相似，最后向用戶發(fā)送“證書寄送郵件”。4.證書更新(b)（用戶自行生成新密鑰對申請方式）--首先由證書服務(wù)中心發(fā)送“更新提醒通知郵件”，提醒用戶證書的有效期限，告知用戶更新申請的截至?xí)r間。其余操作與證書申請(b)相似，最后向用戶發(fā)送“證書安裝鏈接郵件”。5.證書撤銷--指定證書被撤銷成功后，無論是否由證書持有者本身提出撤銷申請還是由LRA根據(jù)用戶信息的變化情況提出撤銷申請，其余須由證書服務(wù)中心向證書持有者發(fā)送撤銷成功的證書信息以及具體的撤銷時間等，此郵件稱為“撤銷結(jié)果告知郵件”。6.其他--當(dāng)證書服務(wù)中心因維護而需要暫停服務(wù)時，須提前向用戶發(fā)送通知，如“暫停服務(wù)通知郵件”。當(dāng)服務(wù)內(nèi)容或流程發(fā)生變化時，證書服務(wù)中心也須向?qū)嶓w用戶告知。3基于Linux的web證書服務(wù)的實現(xiàn)3.1證書服務(wù)中心的實現(xiàn)在2.3.1節(jié)中提到，證書服務(wù)中心的組成主要包括證書服務(wù)接口、分發(fā)模塊、CA模塊、數(shù)據(jù)存儲模塊、實體用戶服務(wù)模塊。具體實現(xiàn)中，對應(yīng)如下：證書服務(wù)接口對應(yīng)實現(xiàn)為WebService的服務(wù)端(Skeleton)功能模塊，Skeleton用Java語言實現(xiàn)；分發(fā)模塊與其他如檢查功能和數(shù)據(jù)類型轉(zhuǎn)換功能，并入一起，在DynamicWebProject(Java語言)中實現(xiàn)；CA模塊的主要業(yè)務(wù)邏輯封裝為EJB來實現(xiàn)。DynamicWebProject中的分發(fā)模塊將業(yè)務(wù)申請分發(fā)到對應(yīng)的EJB，對應(yīng)的會話EJB將作為數(shù)據(jù)集成層中那些實體EJB的會話外觀，如圖2-1所示。圖3-1證書服務(wù)系統(tǒng)組件中的會話外觀數(shù)據(jù)存儲模塊，按照2.3.1的設(shè)計，分為數(shù)據(jù)層與數(shù)據(jù)集成層。數(shù)據(jù)層中的持久數(shù)據(jù)源可以使用關(guān)系型數(shù)據(jù)庫實現(xiàn)，這里選擇了Oracle10g數(shù)據(jù)庫系統(tǒng)。5個數(shù)據(jù)表分別存儲了申請信息（包括更新申請）、證書信息、撤銷列表、密鑰對以及系統(tǒng)日志。數(shù)據(jù)集成層中的申請信息（包括更新申請）、證書信息、撤銷列表、密鑰對、日志五個模塊可以使用實體EJB實現(xiàn)，這五個實體EJB分別與數(shù)據(jù)層中的五個數(shù)據(jù)表形成對象－關(guān)系映射。結(jié)合上述對應(yīng)，證書服務(wù)中心具體采用J2EE與WebService等技術(shù)實現(xiàn)，具體實現(xiàn)如圖3-2所示：圖3-2證書服務(wù)中心的實現(xiàn)CA業(yè)務(wù)邏輯和數(shù)據(jù)集成的EJB，分發(fā)模塊等的實現(xiàn)—DynamicWebProject,數(shù)據(jù)存儲模塊，以及服務(wù)接口—WebServiceskeleton，都是在IBMWebspere3.2泛RA服務(wù)模塊的實現(xiàn)如2.3.2節(jié)的設(shè)計，泛RA分為特殊RA、LRA用戶系統(tǒng)接口、審批中心網(wǎng)站。這三塊內(nèi)容相互獨立，都是一邊以WebService與證書服務(wù)中心通信，另一邊是RA的注冊審批管理業(yè)務(wù)系統(tǒng)。其實現(xiàn)分別為:特殊RA的操作、管理和維護人員都由證書服務(wù)中心指派，實際上是作為證書服務(wù)中心的一個延伸部分，特殊RA模塊的實現(xiàn)為了可適應(yīng)于不同平臺，采用JavaApplication的形式，如圖3-3所示：圖3-3特殊RA的實現(xiàn)特殊RA模塊的注冊審批管理中包括用戶注冊、申請管理、審批記錄三個主要業(yè)務(wù)。這三個內(nèi)容的操作對應(yīng)有相應(yīng)的界面、邏輯類和數(shù)據(jù)類。與證書服務(wù)通信的接口為WebService的客戶端(Stub)，實現(xiàn)可使用一些自上而下(Top-Down)的WebService代碼生成工具（如IBMRAD的WSDK，或Axis2的Wsdl2java等），這里使用的是在IBMRAD中由WSDL文件建立WebService的客戶端，完成相應(yīng)設(shè)定后生成Stub。數(shù)據(jù)存儲采用MySQL數(shù)據(jù)庫，數(shù)據(jù)庫中主要包括用戶注冊信息、申請管理信息、審批記錄信息和日志這四個表。LRA用戶系統(tǒng)接口，是用于LRA機構(gòu)用戶自建（或整合）系統(tǒng)與證書服務(wù)中心的通信。本文的研究中對LRA用戶的自建系統(tǒng)也做了示例性的實現(xiàn)，如圖3-4所示：圖3-4示例LRA自建系統(tǒng)的實現(xiàn)為更好地體現(xiàn)WebService跨平臺、與實現(xiàn)語言無關(guān)的特點，這個示例LRA自建系統(tǒng)是在.NetFramework1.1上進行開發(fā)和整合的。LRA機構(gòu)用戶的待整合系統(tǒng)與數(shù)據(jù)分別為.Net架構(gòu)的人事管理系統(tǒng)和使用SQLSever2000的數(shù)據(jù)。將注冊審批管理模塊作與人事管理系統(tǒng)進行整合，注冊審批管理的數(shù)據(jù)存儲也使用原來的SQLSever，同時在用戶注冊時，調(diào)用人事管理系統(tǒng)信息，此外LRA通過認識管理系統(tǒng)的信息變動情況，在必要時向證書服務(wù)中心提交證書撤銷申請等。審批中心網(wǎng)站，采用B/S架構(gòu)，LRA機構(gòu)用戶通過瀏覽器登陸審批中心網(wǎng)站執(zhí)行職能。審批中心網(wǎng)站的實現(xiàn)使用了TomcatServer和MySQL數(shù)據(jù)庫，如圖3-5所示：圖3-5審批中心網(wǎng)站的實現(xiàn)JSP為表示層，負責(zé)與用戶的交互。主要業(yè)務(wù)邏輯在Servlet中，其中的注冊審批管理模塊，與特殊RA的實現(xiàn)相似。WebService的Stub，采用了Axis2的wsdl2java工具。3.3實體用戶服務(wù)模塊的實現(xiàn)在2.3.3節(jié)中提到的，實體用戶服務(wù)模塊，主要負責(zé)與證書實體用戶的交互，結(jié)構(gòu)上主要包括Email系統(tǒng)和用戶服務(wù)中心網(wǎng)站（如圖3-2中所示）。Email系統(tǒng)：首先由于系統(tǒng)運行于Linux上，Email系統(tǒng)的使用了SendMail作為郵件服務(wù)器，SquirrelMail作為Webmail進行實現(xiàn)。SendMail為Linux上非常流行的開源的郵件服務(wù)器。Sendmail的配置步驟為：1.．打開imap服務(wù)，編輯/etc/xinetd.d/imap文件將“disable=yes”改為“disable=no”后重新啟動xinetd：命令為“servicexinetdrestart”。2.配置sendmail服務(wù)器備份默認的配置文件使用命令：#cp–R/etc/mail/etc/mail.bak編輯/etc/mail/sendmail.mc文件，將下面一行：dnldefine(`SMART_HOST',`vider')改為：define('SMART_HOST','')(注意：用自己的合法的域名代替)。然后運行M4程序，生成SendMail配置文件,命令為：#m4/etc/mail/sendmail.mc>/etc/mail/sendmail.cf編輯上一步生成的sendmail.cf文件，將：ODaemonPortOptions=Port=smtp,Addr=,Name=MTA改為：ODaemonPortOptions=Port=smtp,Addr=8,Name=MTA最后為能解析本地主機名，將主機域名加到/etc/mail/local-host-names文件中。Squirrelmail是比較流行的Webmail開源程序，使用php4開發(fā)，可以作為Web收發(fā)郵件收發(fā)界面。用戶服務(wù)中心網(wǎng)站：在2.3.3節(jié)中的設(shè)計提到，實體用戶服務(wù)中心網(wǎng)站的主要功能包括證書申請對應(yīng)的證書注冊安裝、證書更新對應(yīng)的證書注冊安裝、公鑰證書查詢/下載、信息發(fā)布等內(nèi)容。由于此模塊為證書服務(wù)中心的一部分，因此共用資源—