自建CA?第三方CA?

　　对于一个计划采用CA证书的企业来说，第一个要面临的问题就是自己建立一个企业级的CA还是采用第三方的CA?一般而言，任何一个CA都可以完成上面的功能要求，但是应用的范围却不尽相同，企业级CA不适合给自己的外部客户提供证书应用服务，比较适合应用在企业的财务、OA、ERP等内部系统中，也不需要对证书使用者担负什么特别的责任。而采用第三方权威、公正的CA，除了可以提供完整的PKI服务之外，还会对提供的服务承担技术和法律上的责任。从投入产出的关系来看，一般来说计划建立自己CA的用户会高估建设的成本、低估运营维护的成本，视最终用户的规模进行经济分析，会得出合理的结论。

　　那么，一个企业该如何将证书机制应用到自己的系统中来呢?拿企业的财务系统来说，大的业务集团往往都有自己的财务公司，各子公司的财务系统通过互联网连接起来，很多敏感的财务信息、内部的结算信息都在这个平台上，原有的身份识别是通过简单的用户名和密码来进行，信息的传递也是通过简单的加密手段来保证，这里潜在的安全隐患非常大，很容易造成信息的被窃取、伪造，利用证书机制就可以安全、方便地解决企业信息系统的后顾之忧。

　　那么，怎样来实施呢?首先是对于各系统的用户，无论是总部还是子公司，无论是Server端还是Client端，第一步就是获得各自的身份证明——数字证书，这可以到各CA的RA机构去批量申请，也可以申请建立CA的RA机构自己来管理和发放证书。证书可以放在安全的介质上，比如，Usb Key 或者智能卡上，也可以放在计算机的硬盘上。第二步的工作就是对原有的信息系统作简单改造，或者只是简单地增加一些配置即可，比如CFCA提供的Direct 安全代理软件，就可以很方便地应用在企业B/S结构的应用中，Web Server端和Browser端只需安装相应的代理软件，双方持有证书就可以完成安全通道的建立、用户身份的识别、数据加密、数字签名等功能，对原有系统不必作太多的改动。如果用户希望将证书机制和自己的各种应用系统结合的更加紧密一些，那么CA可以提供证书应用相关的API和技术支持来帮助企业改造自己的系统。比如，CFCA提供证书应用开发所需要的File toolkit 和Session toolkit等来帮助用户更好地使用CFCA的证书。