密鑰管理中心

一般來説，每一個CA中心都需要有一個KMC負責該CA區域內的密鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設置，既可以建立單獨的KMC，也可以採用鑲嵌式KMC，讓KMC模塊直接運行在CA服務器上。

系統的存貯服務器，由大型數據庫及目錄服務器組成。負責用户證書、CRL及其它相關的信息的存貯。

系統支持兩套密碼模塊：加密模塊和符合PKCS#11標準的加密模塊（硬設備）。支持高強度的密鑰及加密算法，並提供客户端的支持環境。

通過PKCS#11接口直接硬件加密，實現了黑盒管理，系統密鑰不出主機加密服務器，擁有很強的安全性和保密性。

系統中的密鑰共分為以下幾種：

1、CA的密鑰：CA（ Certification Authority ，證書認證中心）的密鑰是整個系統的核心機密，它在系統安裝時產生，生成之後加密存儲在存儲服務器的數據庫或硬件主機加密服務器中。

2、 用户的密鑰：用户的簽名密鑰由客户端產生，生成後加密存儲在客户端本機文件或操作系統安全區中。

可以以加密的方式對密鑰進行歸檔和備份。如果使用硬件加密，則支持密鑰管理員身份IC卡的備份與管理；如果使用軟件加密，則支持標準PBE/PKCS#5算法對密鑰進行高強度的加密存貯與備份。

提供客户端軟件，支持對客户端密鑰的管理，包括：生成、存貯、備份。通過使用標準的PBE/PKCS#5實現對客户端密鑰本地化存貯和備份的保護。