密鑰管理中心的工程建設按照與CA統一規劃、有機結合、獨立設置、分別管理的原則進行。

1.功能要求

密鑰管理中心應给予下列服務功能：

①為CA给予密鑰生成服務；

②為司法機關给予密鑰恢復服務；

③為用戶给予密鑰更新、密鑰恢復、密鑰作廢服務。

2.性能要求

密鑰管理中心的性能應滿足如下要求：

①密鑰的保存期應比10年長。

②系統應支持多並發服務請求。

③系統各模塊的狀態信息保存在配置文件與數據庫內,保證系統的部署與配置方便性,當系統要改變配置時不用中斷它的服務。

④各模塊的功能可顺利获得配置文件控制,系統可由不一樣的需求設置。

⑤系統應有冗餘設計,保證系統的不間斷運行。

3.管理員配置要求

KMC應設置超級管理員、審計管理員、業務管理員、業務操作員。其中,“超級管理員”負責KMC系統的策略設置,設置各子系統的業務管理員並對其管理的業務範圍授權。“業務管理員”負責KMC系統的某子系統的業務管理,設置本子系統的業務操作員並授權其操作的權限。“業務操作員”按其權限進行具體的業務操作。“審計管理員”負責審計與監督相關係統安全的事件和各種管理與操作人員的行為。

上述各類人員用證書登錄,其中“超級管理員”與“審計管理員”的證書應在KMC系統初始化時一起產生。

另外,KMC應設置安全管理員,全面負責系統的安全工作。

4.初始化要求

KMC的初始化過程必須完成下列工作：

①生成KMC的组织密鑰並實施安全備份。

②由授權的CA簽發KMC服務器證書。

③由授權的CA簽發超級管理員與審計管理員證書。

④由授權的CA簽發業務管理員與操作員證書。