4.2  系统功能

PKI系统由不同的功能模块组成，分别具有不同的系统功能，为了实现所提供的服务功能有机地组成PKI认证体系。下面分别介绍PKI体系的整体提供的系统功能。

4.2.1  证书申请和审批

作为以数字证书为核心实现的PKI安全系统，证书申请和审批功能是最基本的要求。具备证书的申请和审批功能，提供灵活、方便的申请方式，高效、可靠的审批系统，可以保证由该PKI体系提供安全服务的各方能顺利地得到所需要的证书。

证书的申请和审批功能直接由CA或由面向终端用户的注册审核机构RA来完成。

对于行业性质的大范围PKI体系，证书的申请和审批一般是由RA来完成的。如果是通过RA来完成该功能，申请者就在该注册机构（RA）进行注册，申请证书。一般流程是：用户直接从RA处获得申请表，填写相关内容，提交给RA，由RA对相关内容进行审核并决定是否审批通过该证书申请的请求。通过后RA将申请请求及审批通过的信息提交给相应的认证中心CA，由CA进行证书的签发。其中证书的申请和审批方式有离线和在线两种，终端用户可视具体情况选择合适的方式。

有些简单的PKI系统CA和RA是一体的，即证书的申请、审批和签发一并由CA来完成。

作为面向整个金融行业的CA，认证体系的证书申请和审批功能由分布于各个商业机构的RA来完成。被CA授权的证书注册审核机构（Registration Authority，简称RA）（各商业银行、证券公司等机构），面向最终用户，负责接受各自的持卡人和商户的证书申请并进行资格审核，具体的证书审批方式和流程由各授权审核机构规定。经审批后，RA将审核通过的证书申请信息发送给CFCA，由CFCA签发证书。其中，证书申请的前提是：

— 证书的申请者必须在某商业银行开有账户；

— 证书申请者必须具有唯一的身份证号码、工商营业执照或全国机构代码；

— 证书申请必须有电子邮件地址；

— 各商业银行总行具有PKI管理能力，设有管理员；各商业银行总行拥有证书申请注册机构（RA，Registration Authority）及多个分支机构的证书申请受理点（LRA，Local Registration Authority）；

— 各个PKI实体之间可以进行基于TCP/IP的通信。

证书的申请方式根据不同的应用，分为离线申请方式、在线申请方式、金融CA PKI Web证书申请、企业高级证书申请及SET证书申请。无论哪种申请方式都要填写相应的申请证书表，该表的内容与格式是由PKCS#10标准规定的，包括申请者的基本信息和申请人签名及签名算法。

完成证书的申请后就要进行相应的证书审批程序。首先，用户提交的证书申请表需经过RA或LRA中审查人员进行审核，审核方式也分在线审核方式和离线审核方式。如果证书申请通过了RA或LRA的审核，该申请将通过专用的应用程序在PKI系统中注册用户，完成证书审批。