簡述憑證註冊中心(RA)

文 - 林猷翔

在 PKI 的使用領域中,憑證及對應的公、私金鑰組,是 PKI 各項運用的主要核心,透過金鑰的使用,可以達到簽章及加密的功能,輔以憑證的檢驗機制,可以達到身分確認的效果。在電子化的各項應用裡,無論是安全方面的用途,或是節省人力成本的目的,PKI 的機制都能夠在其中佔有一席之地。

  • X509 憑證的發布及申請
  • 憑證代表著某一組公、私金鑰的身分識別,是由一個發布中心 CA(Certificate authority)所發行,由於 PKI 的身分識別及不可否認性,所以通常由具有公信力的第三方機構來架設 CA,例如內政部自然人憑證管理中心 MOICA,而 MOICA 所發布的個人憑證,其憑證與公、私金鑰就能夠代表某一位國民的身份,進而能夠進行一連串的個人電子化應用。

    通常使用者要向 CA 取得一張憑證,並非直接取得,而是透過一個平台稱為 RA(Registration authority)來進行申請,如同到郵局申辦業務時,是透過櫃台人員進行流程作業,然後櫃台人員再使用背後的資源完成作業需求,而 RA 的角色就如同櫃台一樣。所以一個使用者想要申請一張憑證,也需要透過 RA,來向 CA 申請一張憑證,RA 就像是一個註冊中心,管理所有前來註冊的申請人,RA 可以進一步事先審核申請人的資料及合法性,確認申請人的身分是否正確,然後 RA 再向 CA 提出憑證的申請。

  • 透過憑證註冊系統 RA 申請憑證
  • RA 多數設計成網頁介面,方便使用者連接上網路進行申請,申請過程中會依序進行以下步驟:

    1. 使用者輸入申請資料,或由 RA 管理人員進行填寫,先進行一次身分審核。
    2. RA 會在使用者端的載具上(例如電腦本身或是 IC 卡),產製一組使用者的公、私金鑰組。
    3. 將使用者私鑰保留在載具內、再將公鑰連同使用者資料,計算出一組申請用的編碼(Request Code),送往 CA 進行憑證申請。
    4. CA 收到 Request Code 後,就會簽發出一張憑證交還給 RA。
    5. RA 收到憑證後,將公、私金鑰組及憑證在使用者端載具內進行合併,完成申請手續。

RA 除了提供一個讓使用者能夠進行憑證申請的平台外,最主要的功能在於,RA 可以統計所有前來申請的申請人憑證及資料,進一步提供使用者日後對於展延、廢止或重新申請憑證的需求。RA 也能夠得知已申請的憑證目前狀態,進一步提供與使用者的互動。

了解 RA 的定位後,可以進一步對 RA 的架構進行規劃,從 RA 如何取得、審核申請人資料,到如何管理已申請的所有憑證,都可以配合各家廠商現有的系統進行整合。

例如以下常見架構:

  1. 以特定數名管理者 RAO(Registration authority officer),來進行申請人的資料審核及填寫,申請完成後,再將帶有公、私金鑰及憑證的 IC 卡或軟體憑證(PFX)交給申請人,如內政部自然人憑證的申請流程。
  2. 開放使用者自行登入 RA 進行申請,此時 RA 會設計一套驗證使用者的方式,來驗證申請人的身分,然後進一步取得申請人的申請資料,例如部分的銀行業者會採用此種架構來建立銀行軟體憑證。
  3. RA 開放網路服務(Web Service)進行各種載具的憑證申請,經過身分驗證後,可讓手機平台或平板電腦等行動裝置,能夠向 RA 進行憑證申請動作。

>> 回電子報首頁

推Plurk