公钥基础设施(PKI)是建立在公钥密码体制上的信息安全基础设施,为应用者提供身份认证、加密、数字签名、时间戳等安全服务.数字证书认证中心(CA)是PKI的核心部件,它的主要任务是签发及管理数字证书、证书废除列表(CRL).PKI已广泛用于保障电子商务和电子政务的安全,中国目前电子商务的发展也采用了此种技术.该文介绍了CA和与其相关的一些知识,包括加密算法、标准、协议,以及设计的原则,实现的方法等.重点分析了几个比较重要的协议和标准,如X.509标准、RFC2459协议、REC2510协议、RFC2511协议和ASN.1.RFC2459协议是IETF工作组发行的有关公钥证书和CRL格式的建议,是在X.509协议的基础上对证书和CRL的格式加以限制使其易于实现.该文设计的典型CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器,给出了CA的框架模型,以及数字证书和CRL的格式.讲解了两个比较常用的应用编程界面API接口,即CryptoAPI和CDSA接口.采用安全API接口作为CA软件系统的底层应用,能够较好地构建CA软件平台.该文给出了在Microsoft公司的.NET环境下使用System.Security.Cryptography命名空间中的CryptoStream类在任意数据流上实现加密和解密的C＃程序,同时给出了C＃语言生成和比较哈希值的程序代码以及利用Windows的CAPI接口实现数字签名的程序设计.文中对CA认证中心的软件系统进行了设计和实现.软件系统按照操作模块划分为五部分.系统中的数据存储和发布按照功能模块划分的分层设计思路设计.采用Oracle8数据库作为证书数据库.用C＃语言对CA软件系统进行了实现,其中涉及证书部分采用标准C语言编程,可以保证系统的可移植性.最后,详细地描述了证书的申请过程,讲解了客户端的证书安装过程.