OpenCA là dự án nhằm xây dựng PKI hoàn chỉnh, chuyên nghiệp cho các đơn vị cỡ vừa và lớn. OpenCA đƣợc phát triển liên tục từ năm 1999 đến nay, từ năm 2001, OpenCA đã bắt đầu đƣợc sử dụng trong thực tế.
OpenCA dùng giao diện web, hỗ trợ hầu hết các web browser chính, khác với sản phẩm thƣơng mại, không hỗ trợ sản phẩm mã nguồn mở, vì sợ bị cạnh tranh.
OpenCA bao gồm các module:
Giao tiếp công cộng: Giao diện web để ngƣời dùng truy cập qua internet.
Ngƣời dùng có thể đăng kí xin cấp chứng chỉ trực tiếp qua module này. Giao tiếp LDAP: Danh bạ công bố khoá công khai, ngƣời dùng thƣờng lấy
khoá công khai từ module này để thực hiện việc mã hoá trƣớc khi gửi thƣ đến đơn vị dùng OpenCA.
Giao tiếp RA: Đơn vị điều hành RA dùng module này để nhập các thông tin
xác thực cá nhân của ngƣời xin cấp chứng chỉ.
Giao tiếp OCSP: Module hỗ trợ kiểm tra chứng chỉ còn hiệu lực hay không.
Công nghệ OCSP có tác dụng nhƣ việc công bố CRL, nhƣng tính năng ƣu việt hơn hẳn CRL.
Giao tiếp CA: Module kí số riêng rẽ cho phép CA làm theo nguyên tắc an
ninh - tách biệt khỏi mạng công cộng để bảo vệ tối đa khoá bí mật. Điều này khiến cho OpenCA trở nên an toàn hơn hầu hết các phần mềm CA hiện nay trên thị trƣờng.
Ngoài những tính năng thiết yếu của một PKI, OpenCA có nhiều tính năng ƣu việt nhƣ:
Đăng nhập bằng chứng chỉ.
Hệ thống quản lý quyền mềm dẻo.
Sử dụng đƣợc hết các tính năng của X.509 mở rộng.
OpenCA là phần mềm mã nguồn mở miễn phí, có sẵn tài liệu chi tiết đầy đủ, giúp cho việc tìm hiểu và ứng dụng OpenCA một cách dễ dàng.
Hình 3.11: Mô hình kiến trúc tổng quát của OpenCA
Hình 3.12: Mô hình quan hệ phân cấp giữa CA, RA và người dùng
OpenCA Hệ điều hành Linux OpenLDAP Dịch vụ thư mục cho chứng chỉ số OpenSSL
Thư viện tầng Socket an toàn (hoặc thư
viện khác) Apache secure web server CA RA RA User User