呼應本月焦點,客戶可以使用各大政府憑證網站所公布之中華電信安控元件及資通 uPKI(ubiquitous Public Key Infrastructure;憑證驗證及存證服務系統),即可整合新式數位身份證(New eID),可是又聽到許多廠商或客戶對於沒有 PKI Know-How,以及不知道怎麼整合感到焦慮。為因應大家的困境,資通提出相對應的解決方案,而在提出解決方案之前,先來熟悉一下 PKI(Public Key Infrastructure;公開金鑰基礎架構)運作架構。
PKI 平台的運作架構
使用者若使用新式數位身份證、工商憑證、機關憑證進行登入或電子簽章,在應用系統端,只需進行認證或電子簽章安控元件之呼叫,並將呼叫後的結果(即為 PKCS#7 電子簽章封包),透過 HTTP/HTTPS 的服務,將認證封包或電子簽章封包送至 uPKI 系統進行驗證及存證,uPKI 驗證及存證服務系統即會將驗證後結果回傳至應用系統端,並同時進行電子簽章封包的存證,可大幅降低應用系統端之整合門檻。應用系統廠商只需會呼叫 HTTP 的 Service,不需要理解驗證的步驟及過程,即可得到驗證結果的答案。接著就來介紹一下 uPKI 憑證驗證及存證服務的功能。
uPKI 憑證驗證及存證服務功能
- 提供不同應用系統可接受不同之憑證驗證服務
- 於客戶端主機管理功能下,設定允許連線之遠端主機位址,驗證伺服器只對有註冊之主機提供驗證及存證服務
- 自動下載黑名單(憑證廢止清冊,CRL)
- 時戳驗證功能符合 RFC 3161 標準
- 憑證檢測服務
- 黑名單驗證服務
- 簽章封包驗證服務
- 簽章封包驗證並存證服務
- 驗證之內容包含:確認用戶憑證為 CA 所核發、確認用戶憑證之金鑰用途、確認用戶憑證之有效性及時效性、確認 CRL 之合法性及版本、防止用戶訊息遭竄改或重製、確認系統時間之準確等
- 回傳應用程式驗證結果
資通電腦免費提供中華電信安控元件顧問服務
即便大幅降低應用系統端驗證的門檻,大多數的廠商或客戶還是反應不會使用中華電信的安控元件,您的困擾,我們都幫您想到了!資通免費提供以下服務,教您快速整合安控元件,原則上只需 2 日即可完成使用中華電信安控元件進行認證及電子簽章、驗證之測試,將整個 PKI 整合架構架起,並大幅節省導入費用。
中華電信安控元件顧問服務項目包括:
- 依據應用系統端語言提供該範例程式
- 依據範例程式,提供相對應的說明文件
- 提供遠端驗證服務系統驗證服務,直接使用我們架設之 uPKI 驗證及存證服務測試機進行驗證,顧問即可立即觀看 log 協助排除錯誤
- 提供額外之顧問諮詢服務,可以討論更深的應用建議