數字證書是所有實體在網上研讨信息與交易活動的身份證明。為符合這個要求,需創建一個涉及電子商務各方均信任的组织,確保數學證書的真實可靠。此组织即是數字證書認證中心(以下簡稱CA),它是產生、發放且管理全部涉及網上交易的實體的數字證書。

CA的主要職責有以下內容。

(1)證書頒發。申請者在CA的註冊组织進行註冊,申請證書。CA對申請者進審核,審核成功就生成證書,頒發給申請者。證書的申請可用在線申請與親自到BA申請兩種方式。證書的頒發也有兩種方式:一種是在線直接從CA下載;另一種是CA把證書製做成介質後,由申請者帶走。

(2)證書更新。證書的更新含更換與延期兩種情況。證書的更換事實上是重新頒發證書。所以證書的更換過程與申請流程大致情況一致。而證書的延期僅是延長證書的有效期,它的簽名與加密信息的公私密鑰無改變。

(3)證書廢除。證書持有者可對CA申請進行廢除證書。CA認證核實成功,就能廢除證書,告知相關組織及個人,並寫進黑名單CRL。

(4)證書和CRL的公佈。CA顺利获得LDAP服務器保護用戶證書與黑名單。它對用戶給出目錄瀏覽服務,把新簽發或廢除的證書加至LDAP服務器上。如此用戶訪問LDAP服務器就可取得他人的數字證書或訪問黑名單。

(5)證書狀態的在線查詢。一般CRL簽發是一天一次,CRL的狀態與當前證書狀態存在一定的延後。OCSP服務器返回證書的當前狀態且對這個結果進行簽名。在線證書狀態查詢相對CRL更具時效性。

(6)證書認證。網上交易兩方身份認證時,互相給出自己的證書與數字簽名,由CA認證證書的有效性與真實性。在實際操作中,一個CA非常不易取得全部用戶的信任且接受它發行的公鑰用戶的證書,這就需多個CA。在多個CA系統里,令由指定CA發證書的全部用戶構成一個域,如果一個持有由指定CA發證的公鑰用戶要和由另一個CA發放公鑰證書的用戶完成安全通信,則得處理跨域的公鑰安全認證及傳送,建立一個可靠的證書鏈或通路。高層CA叫RCA,它給低層CA發公鑰證書。

(7)制定政策。CA的政策越公開,信息發佈則越及時。

(8)CA的政策指CA一定得承擔起信任它的所有方的責任。