1.1 認(rèn)證中心（CAServer）
    CAServer是ETCA數(shù)字證書管理系統(tǒng)的核心，負(fù)責(zé)所有證書的簽發(fā)、注銷以及證書注銷列表的簽發(fā)等管理功能。

證書管理
    在CAServer系統(tǒng)中，只有擁有證書管理角色的管理員才能進行證書管理的操作。證書管理主要包括證書的申請、下載、發(fā)布、申請并下載、更新、更新并下載、凍結(jié)、解凍、授權(quán)碼更新、證書查詢、證書實體查詢及證書撤銷列表的發(fā)布等操作。

證書申請
    系統(tǒng)提供基于WEB的申請方式，簡單易用，幫助用戶方便、安全、快捷的進行證書申請。用戶可以根據(jù)自己的需要選擇相應(yīng)的證書模板進行證書申請操作，如果申請成功，系統(tǒng)將返回下載證書所需的憑證。

證書簽發(fā)
    對于通過審核的證書申請，CA Server可以為其簽發(fā)證書。簽發(fā)的證書符合相關(guān)標(biāo)準(zhǔn)，并且支持?jǐn)U展。簽發(fā)時使用的系統(tǒng)密鑰得到高強度的安全保護，系統(tǒng)支持硬件主機加密服務(wù)器及PKCS#11接口。

證書發(fā)布
    對于簽發(fā)好的證書，系統(tǒng)進行自動發(fā)布，發(fā)布方式可以為文件方式或者目錄服務(wù)方式。系統(tǒng)支持所有符合LDAP V3標(biāo)準(zhǔn)的目錄服務(wù)，支持主/從目錄服務(wù)器機制。

證書下載
    證書申請通過審核之后，用戶可以通過下載憑證安全的下載證書。系統(tǒng)提供基于WEB的下載方式，支持多種加密算法和密鑰長度，支持文件、智能卡、USB-KEY等多種存儲介質(zhì)。

證書申請并下載
    申請并下載證書是為了方便用戶，將申請證書和下載證書兩項操作一步完成的功能。

證書更新
    系統(tǒng)提供證書更新功能，用戶可以根據(jù)需要對正在使用中的證書進行有效期的更改，更新成功后，用戶可以下載新的證書。

證書更新并下載
    證書更新并下載是為了方便用戶，將證書更新和下載更新后的證書兩項操作一步完成的功能。

證書查詢
    系統(tǒng)提供證書查詢功能，用戶可以通過查詢條件查詢出符合條件的證書信息，支持jq查詢。

證書下載憑證更新
    對一些申請成功但是沒有下載的證書，CA Server可以為用戶重新生成下載憑證，用戶使用新的下載憑證進行證書下載。

證書注銷
    用戶可以對一些不再使用的證書進行注銷操作，注銷后的證書不可恢復(fù)。
系統(tǒng)對于有下列情況之一的用戶進行證書注銷：
密鑰泄密
CA泄密
從屬關(guān)系變更
證書被取代
操作終止

證書注銷列表發(fā)布
    CA Server可以根據(jù)發(fā)布策略定期簽發(fā)標(biāo)準(zhǔn)格式的證書注銷列表，發(fā)布方式可以為文件方式或者目錄服務(wù)方式，發(fā)布周期可以由管理員靈活定制。
證書注銷列表的發(fā)布采用分布點策略，保證證書注銷列表的大小在指定的范圍內(nèi)，方便用戶查詢和下載。

證書凍結(jié)
    用戶可以對一些短期內(nèi)不會使用的證書進行凍結(jié)操作，在凍結(jié)期間內(nèi)證書被限制不可使用。被凍結(jié)的證書可以通過解凍操作恢復(fù)使用。

證書解凍
    證書解凍操作是相對于證書凍結(jié)操作的，此操作將凍結(jié)的證書解凍，使得證書可以重新使用。

證書實體查詢
    系統(tǒng)支持證書實體查詢功能，用戶可以通過查詢條件可以查詢出符合條件的證書，并可將證書(公鑰證書)保存到本地。

模板管理
    系統(tǒng)引入了證書模板概念，極大的增強了簽發(fā)不同類型證書的靈活性。系統(tǒng)內(nèi)置有十幾種標(biāo)準(zhǔn)證書模板及標(biāo)準(zhǔn)證書擴展域，能夠滿足大多數(shù)的證書簽發(fā)需求。系統(tǒng)同時支持自定義證書模板和自定義擴展域，用戶可以靈活定制各種證書模板，從而簽發(fā)出各種滿足不同需求的數(shù)字證書（如代碼簽名證書、智能卡登錄證書等）。

證書模板管理
    證書模板用于定義證書的類別，每一個證書模板定義這一類證書的共同特點。包括證書的有效期限制、密鑰類型和密鑰長度、是否需要發(fā)布及發(fā)布的方式以及證書中該包含的擴展域及其擴展域的值等信息。

可以自定義各種類型的證書模板，并對其加以管理。

瀏覽模板
    列出當(dāng)前系統(tǒng)中定義的所有證書模板的詳細(xì)信息。

添加模板
    為系統(tǒng)增加一個證書模板的定義。

修改模板
    修改系統(tǒng)中已經(jīng)存在的一個證書模板。

刪除模板
    刪除一個已經(jīng)定義好的但是還沒有被使用的證書模板。

注銷模板
    注銷已經(jīng)被使用過的一個證書模板，該證書模板以后將不能再使用。

自定義擴展域管理
    用戶可以根據(jù)自己的實際需要自定義證書擴展域，并應(yīng)用于證書模板之中。

瀏覽自定義擴展
    列出當(dāng)前系統(tǒng)中定義的所有自定義擴展域，并可以查看詳細(xì)信息。

添加自定義擴展
    為系統(tǒng)增加一個自定義擴展域的定義。

修改自定義擴展
    修改已經(jīng)存在的一個自定義擴展域。

刪除自定義擴展
    刪除一個已經(jīng)定義好的但是還沒有被某個證書模板使用的自定義擴展域。

注銷自定義擴展
    注銷已經(jīng)被使用過的一個自定義擴展域，以后創(chuàng)建證書模板的時候?qū)⒉辉偈褂迷摂U展。

權(quán)限管理
    在CA Server系統(tǒng)中，對管理員采用基于數(shù)字證書的身份驗證機制，管理員的管理權(quán)限與其證書進行綁定。系統(tǒng)采用分布式的基于角色的權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

    每個管理員的權(quán)限信息都包含兩部分內(nèi)容，一部分是管理角色權(quán)限，指定管理員可以進行哪些操作，在CA Server中，系統(tǒng)包含的管理角色有：證書管理角色、模板管理角色、權(quán)限管理角色和審計管理角色。一個管理員可以被授予一個或多個管理角色，以分權(quán)的形式對整個系統(tǒng)進行有效管理。另一部分是管理范圍權(quán)限，指定管理員可以對哪些證書進行管理。
只有具有權(quán)限管理角色的管理員才能進行權(quán)限管理的操作，才能有權(quán)限進行下面三個（授權(quán)管理員權(quán)限、修改管理員權(quán)限和查詢管理員權(quán)限）操作。

授權(quán)管理員
    只有未被授權(quán)的管理員證書才可以進行“授權(quán)管理員權(quán)限”操作。授權(quán)包含管理角色權(quán)限和管理范圍權(quán)限兩方面的授權(quán)。當(dāng)一個管理員證書進行“授權(quán)管理員權(quán)限”操作成功后，就會成為系統(tǒng)的正式管理員，他的權(quán)限可以通過“修改管理員權(quán)限”操作進行修改。

修改管理員
    只有被成功授權(quán)的管理員才能進行“修改管理員權(quán)限”操作。修改管理員權(quán)限時，可以修改管理員的管理角色權(quán)限，也可以修改管理員的管理范圍權(quán)限。

刪除管理員
    進行“查詢管理員權(quán)限”操作查到的管理員包括已經(jīng)成功授權(quán)的管理員和未被授權(quán)的管理員。

審計管理
    只有具有審計管理角色的管理員才能進行審計管理操作，審計管理包括查詢業(yè)務(wù)日志和統(tǒng)計證書。

查詢業(yè)務(wù)日志
    系統(tǒng)支持查詢業(yè)務(wù)日志功能，提供豐富的查詢條件與簡單易用的查詢界面，支持多條件復(fù)合查詢，查詢結(jié)果支持按業(yè)務(wù)操作時間排序。

證書統(tǒng)計
    系統(tǒng)支持證書統(tǒng)計功能，提供豐富的統(tǒng)計條件與簡單易用的統(tǒng)計界面，支持多條件復(fù)合統(tǒng)計。

數(shù)據(jù)歸檔

證書歸檔
    系統(tǒng)支持對已過期長期不用的證書進行歸檔，以減輕系統(tǒng)負(fù)荷。

日志歸檔
    系統(tǒng)支持對日志進行歸檔，以減輕系統(tǒng)負(fù)荷。

1.2 注冊中心（RAServer）
    RA Server是證書注冊審批系統(tǒng)，是CA Server的證書發(fā)放、管理等業(yè)務(wù)的延伸。它負(fù)責(zé)所有證書申請者的信息錄入、審核等工作，同時對發(fā)放的證書進行管理。

證書管理
證書申請
    系統(tǒng)提供基于WEB的申請方式，簡單易用，幫助用戶方便、安全、快捷的進行證書申請。用戶可以根據(jù)自己的需要選擇相應(yīng)的證書模板進行證書申請操作，如果申請通過審核，系統(tǒng)將返回下載證書所需的憑證（參考號和授權(quán)碼）。

證書凍結(jié)
    用戶可以對一些短期內(nèi)不會使用的證書進行凍結(jié)操作，在凍結(jié)期間內(nèi)證書被限制不可使用。被凍結(jié)的證書可以通過解凍操作恢復(fù)使用。

證書解凍
    證書解凍操作是相對于證書凍結(jié)操作的，此操作將凍結(jié)的證書解凍，使得證書可以重新使用。

證書更新
    系統(tǒng)提供證書更新功能，用戶可以根據(jù)需要遠(yuǎn)程對正在使用中的證書進行有效期的更改，更新成功后，用戶可以下載新的證書。

證書注銷
    用戶可以對一些不再使用的證書進行注銷操作，注銷后的證書不可恢復(fù)。
系統(tǒng)對于有下列情況之一的用戶進行證書注銷：

密鑰泄密
CA泄密
從屬關(guān)系變更
證書被取代
操作終止
證書下載憑證（授權(quán)碼）更新

對一些申請成功但是沒有下載的證書，RA Server可以為用戶重新生成下載憑證（授權(quán)碼），用戶使用新的下載憑證進行證書下載。

證書制證
    證書申請通過審核之后，用戶可以通過下載憑證安全的下載證書。系統(tǒng)提供基于WEB的下載方式，支持多種加密算法和密鑰長度，支持文件、智能卡、USB-KEY等多種存儲介質(zhì)。

證書查詢
    系統(tǒng)提供證書信息查詢功能，用戶可以通過查詢條件查詢出符合條件的證書信息，支持jq查詢。
系統(tǒng)還提供申請信息查詢功能，用戶可以通過查詢條件查詢出符合條件的申請信息，支持jq查詢。

用戶信息維護
    系統(tǒng)提供按照用戶自定義的格式產(chǎn)生用戶信息，并可以對用戶信息進行添加、刪除、修改等維護方式。

企業(yè)信息維護
    系統(tǒng)提供按照用戶自定義的格式產(chǎn)生企業(yè)信息，并可以對企業(yè)信息進行添加、刪除、修改等維護方式。

證書審核
證書申請審核
    用戶提交的證書申請只有經(jīng)過審核之后才會被簽發(fā)，管理員根據(jù)系統(tǒng)指定的審核策略對錄入的證書申請信息的有效性進行確認(rèn)，審核通過后向CA Server提出證書申請的請求并返回下載證書所需要的憑證。

證書凍結(jié)審核
    管理員對用戶提出的證書凍結(jié)請求進行確認(rèn)，審核通過后方可進行證書凍結(jié)操作。

證書解凍審核
    管理員對用戶提出的證書解凍請求進行確認(rèn)，審核通過后方可進行證書解凍操作。

證書更新審核
    管理員對用戶提出的證書更新申請進行確認(rèn)，審核通過后方可進行證書更新操作。

證書注銷審核
    管理員對用戶提出的證書注銷請求進行確認(rèn)，審核通過后方可進行證書注銷操作。

證書下載憑證（授權(quán)碼）更新審核
    管理員對用戶提出的下載憑證更新申請進行確認(rèn)，審核通過后方可進行下載憑證更新操作。

權(quán)限管理
    在RA Server系統(tǒng)中，角色可以根據(jù)客戶的需要自己訂制。通過基于角色的用戶管理，可以實現(xiàn)更加靈活的權(quán)限管理。
角色的創(chuàng)建是通過分配一組指定的權(quán)限點完成的，權(quán)限點是完成系統(tǒng)功能的一組操作。只有對權(quán)限點具有一定操作權(quán)限的用戶，才能進行RA的各種證書業(yè)務(wù)操作。
對于RA中的每個證書業(yè)務(wù)員都指定了相應(yīng)的業(yè)務(wù)類型（模板類型）。

系統(tǒng)管理
模板管理
    RA Server定時與CA Server模板保持同步，下載CA Server中模板信息，也可以通過手動方式進行與CA Server的模板同步操作。
對RA Server中的模板統(tǒng)一配置審核策略，即RA Server中的所有用戶根據(jù)模板的不同采用不同的審核策略，并且不同的業(yè)務(wù)采取不同的審核策略。

更新CRL信息
    RA Server定時與CA Server發(fā)布的CRL信息保持同步，也可以通過手動方式進行與CA Server的CRL信息同步操作。
獲取的CRL信息，可以在RA端提供給最終用戶。

主題規(guī)則管理
    系統(tǒng)支持定義一些主題規(guī)則，通過用戶信息或企業(yè)信息中的某些特定項來自動產(chǎn)生用戶所申請的證書主題，免去用戶掌握證書主題規(guī)則的專業(yè)性，降低用戶使用系統(tǒng)的難度。

審計管理
    只有審計管理員才能進行審計管理操作，審計管理包括查詢業(yè)務(wù)日志和歸檔日志。

查詢業(yè)務(wù)日志
    系統(tǒng)支持查詢業(yè)務(wù)日志功能，提供豐富的查詢條件與簡單易用的查詢界面，支持多條件復(fù)合查詢，查詢結(jié)果支持按業(yè)務(wù)操作時間排序。

歸檔業(yè)務(wù)日志
    系統(tǒng)支持對于記錄的業(yè)務(wù)日志進行歸檔的功能，可以按時間段對日志進行手動或自動的歸檔操作。歸檔后的日志在“查詢業(yè)務(wù)日志”功能中無法再被查詢到。

證書統(tǒng)計
    只有審計管理員才能進行證書統(tǒng)計操作。
系統(tǒng)支持證書統(tǒng)計功能，提供豐富的統(tǒng)計條件與簡單易用的統(tǒng)計界面，包括證書簽發(fā)量統(tǒng)計、證書月簽發(fā)量統(tǒng)計和證書過期統(tǒng)計多種統(tǒng)計功能。

批量申請和制證
    系統(tǒng)支持批量進行證書申請和制證的功能，以包含用戶證書信息的XML格式的文件作為批量申請文件，進行批量證書申請，批量證書申請成功后可以對其進行批量制證的操作。

1.3 密鑰管理中心（KMServer）
    KM Server是密鑰管理系統(tǒng)，為CA Server提供用戶加密密鑰的生成及管理服務(wù)。系統(tǒng)支持符合PKCS#11標(biāo)準(zhǔn)的加密設(shè)備，支持高強度的密鑰及加密算法。通過PKCS#11接口直接調(diào)用硬件密碼服務(wù)，密鑰不出主機加密服務(wù)器，擁有高強度的安全性和保密性。

密鑰管理
    在KM Server系統(tǒng)中，只有擁有密鑰管理角色的管理員才能進行密鑰管理的操作。密鑰管理包括密鑰產(chǎn)生，在用密鑰的查詢、統(tǒng)計與備份、密鑰歸檔、密鑰歸檔查詢。

密鑰產(chǎn)生
    密鑰產(chǎn)生分為定時預(yù)產(chǎn)生密鑰和即時產(chǎn)生密鑰兩種方式。

定時預(yù)產(chǎn)生密鑰
    管理員可以通過此功能管理密鑰產(chǎn)生計劃，用于在系統(tǒng)運行不繁忙的時候預(yù)先產(chǎn)生密鑰以作備用，在CA Server申請密鑰的時候可以提高KM Server的工作效率。計劃根據(jù)執(zhí)行時間和在數(shù)據(jù)庫中保存的{zd0}數(shù)量來決定是否每天執(zhí)行。管理員可以執(zhí)行添加、刪除、停止計劃的操作。

即時產(chǎn)生密鑰
    管理員可以通過即時產(chǎn)生密鑰功能隨時產(chǎn)生所需要的一定數(shù)量的密鑰對。管理員可以設(shè)置需要產(chǎn)生的密鑰的類型和長度，以及產(chǎn)生數(shù)量和計劃執(zhí)行時間等參數(shù)。

在用密鑰查詢
    CA Server向KM Server申請密鑰并為用戶簽發(fā)證書成功后，申請的密鑰對保存在KM Server的在用密鑰庫中。設(shè)置輸入某些查詢條件可以查詢出符合條件的在用密鑰的詳細(xì)信息。

在用密鑰統(tǒng)計
    對系統(tǒng)中所有的在用密鑰進行統(tǒng)計，根據(jù)統(tǒng)計條件，統(tǒng)計在用密鑰的數(shù)量。

備用密鑰統(tǒng)計
    對系統(tǒng)中所有的備用密鑰進行統(tǒng)計，根據(jù)統(tǒng)計條件，統(tǒng)計備用密鑰的數(shù)量。

歸檔密鑰查詢
    查詢由CA發(fā)起密鑰歸檔后，KM進行手動密鑰歸后的密鑰信息。

密鑰歸檔
    CA發(fā)起密鑰歸檔消息在KM端將待歸檔密鑰對標(biāo)注為待歸檔狀態(tài)，而后由KM端進行手工歸檔。

CA機構(gòu)管理
    KM Server可以對多個CA機構(gòu)提供密鑰管理服務(wù)，并可以對多個CA機構(gòu)進行統(tǒng)一的管理。CA機構(gòu)管理分為CA機構(gòu)注冊、CA機構(gòu)查詢、CA機構(gòu)凍結(jié)、CA機構(gòu)解凍、CA機構(gòu)更新五部分。只有具有CA機構(gòu)管理角色的管理員才能進行CA機構(gòu)管理的操作。

CA機構(gòu)注冊
    CA Server向KM Server申請密鑰前必須先在KM Server中注冊并得到KM Server的授權(quán)，否則CA Server無權(quán)向KM Server申請密鑰。

CA機構(gòu)查詢
    管理員可以查詢到當(dāng)前KM Server已經(jīng)注冊的全部CA機構(gòu)的詳細(xì)信息。

CA機構(gòu)凍結(jié)
    管理員可以根據(jù)需要將某些已經(jīng)在KM Server中注冊的CA機構(gòu)進行凍結(jié)，凍結(jié)后的CA機構(gòu)將不能再向KM Server申請密鑰，直至被解凍為止。

CA機構(gòu)解凍
    管理員可以將已凍結(jié)的CA機構(gòu)解凍從而恢復(fù)其申請密鑰的權(quán)限。

CA機構(gòu)更新
    管理員可以更新已經(jīng)在KM Server中注冊的CA機構(gòu)的注冊信息。

CA機構(gòu)密鑰設(shè)置
    CA機構(gòu)密鑰設(shè)置功能，可以設(shè)置各個注冊的CA機構(gòu)申請的密鑰數(shù)量。

權(quán)限管理
    在KM Server系統(tǒng)中，對管理員采用基于數(shù)字證書的身份驗證機制，管理員的管理權(quán)限與其證書進行綁定。系統(tǒng)采用分布式的基于角色的權(quán)限管理，管理員間權(quán)限分離，某一管理員只管理某一部分功能并受其他管理員監(jiān)督。

    KM Server的權(quán)限管理包括對司法取證員的權(quán)限管理和對管理員的權(quán)限管理兩部分內(nèi)容。

司法取證員權(quán)限管理
    司法取證員是為進行密鑰恢復(fù)操作而設(shè)置的人員。在進行密鑰恢復(fù)時，需要由幾位特定的司法取證員共同到場，依次驗證權(quán)限才能進行操作。
司法取證員權(quán)限管理主要包括司法取證員注冊、查詢和刪除等。

司法取證員注冊
    只有注冊后的司法取證員才能進行司法取證操作，注冊的司法取證員人數(shù)不能超過系統(tǒng)允許的司法取證人員總數(shù)，不能重復(fù)注冊同一司法取證員。

司法取證員查詢
    管理員可以查詢當(dāng)前系統(tǒng)中已經(jīng)注冊的司法取證員的詳細(xì)信息。

司法取證員刪除
    管理員可以刪除已經(jīng)在系統(tǒng)中注冊的司法取證員，被刪除的司法取證員不能再進行司法取證操作。

管理員權(quán)限管理
    KM Server通過為管理員分配管理角色來指定管理員可以進行哪些操作，KM Server系統(tǒng)中包含的管理角色有：密鑰管理角色、CA機構(gòu)管理角色、權(quán)限管理角色和審計管理角色。一個管理員可以被授予一個或多個管理角色，以分權(quán)的形式對整個系統(tǒng)進行有效管理。
只有具有授權(quán)管理角色的管理員才能進行以下的授權(quán)管理操作。

注冊管理員
    注冊后的管理員具有被賦予的管理角色，可以進行相應(yīng)的操作。

授權(quán)管理員
    注冊后的管理員的權(quán)限可以被修改或刪除。

密鑰恢復(fù)與司法取證
    KM Server可以通過密鑰恢復(fù)操作來提供司法取證服務(wù)。在KM Server系統(tǒng)中，只有擁有密鑰管理角色的管理員才能進行密鑰恢復(fù)操作。司法取證員多方到場后，密鑰管理員啟動密鑰恢復(fù)操作進行司法取證過程，分別驗證每個司法取證員的身份是否和系統(tǒng)中設(shè)定的司法取證員相符，驗證通過后選擇密鑰恢復(fù)方式，進行密鑰的保存。

密鑰恢復(fù)
    密鑰恢復(fù)可以從KMServer的數(shù)據(jù)庫中提取出欲恢復(fù)密鑰（私鑰）并進行保存，KMServer提供了2種密鑰保存方式，基于文件的保存方式和基于智能卡的保存方式。

文件方式
    如果選擇基于文件的保存方式，KMServer可以提供2種文件格式：PKCS#1格式和PKCS#12格式。PKCS#1格式只保存私鑰，PKCS#12格式采取將私鑰與證書用保護口令加密的方式保存。

智能卡方式
    基于智能卡的保存方式可以將欲恢復(fù)的密鑰保存在智能卡內(nèi)。

司法取證
    司法驗證過程中，KMServer根據(jù)在系統(tǒng)初始化階段設(shè)定的M/N值（N個人中最少M個人到場）進行司法取證員的身份驗證，需要選擇每個司法取證人員證書進行簽名，在M個司法取證人員的簽名操作完成后，系統(tǒng)驗證司法取證人員的合法性（司法取證員必須為系統(tǒng)中注冊過的司法取證人員），驗證通過后進行密鑰恢復(fù)。

審計管理
    只有具有審計管理角色的管理員才能進行審計管理操作。KM的審計管理主要是對系統(tǒng)的業(yè)務(wù)日志進行查詢、業(yè)務(wù)日志歸檔、業(yè)務(wù)歸檔日志查詢。業(yè)務(wù)日志查詢條件包括操作者、操作對象證書主題、操作對象證書序列號、證書模板名稱、密鑰類型、密鑰長度、業(yè)務(wù)類型、業(yè)務(wù)結(jié)果、起始日期和時間、結(jié)束日期和時間等，查詢結(jié)果按業(yè)務(wù)操作時間排序。業(yè)務(wù)日志歸檔使用戶可以按照年度、月度、自定義時間段三種方式進行業(yè)務(wù)日志歸檔。業(yè)務(wù)歸檔日志查詢條件同業(yè)務(wù)日志查詢。

1.4 在線證書狀態(tài)查詢系統(tǒng)（OCSPServer）
    OCSP Server是在線證書狀態(tài)查詢系統(tǒng)，為證書應(yīng)用提供實時的證書狀態(tài)查詢服務(wù)。OCSP Server系統(tǒng)wq遵照RFC2560標(biāo)準(zhǔn)實現(xiàn)，保證了標(biāo)準(zhǔn)性，任何符合RFC2560的產(chǎn)品都可以方便的連接OCSP Server進行證書狀態(tài)查詢。

    OCSP Serve通過CA的鏡像數(shù)據(jù)庫查詢證書狀態(tài)，這樣比查詢CRL（證書注銷列表）更可靠、更及時，提供給證書應(yīng)用的信息更豐富。

OCSP Server支持為多個不同的CA系統(tǒng)向用戶提供統(tǒng)一的數(shù)字證書狀態(tài)驗證服務(wù)，證書應(yīng)用向OCSP Server查詢證書狀態(tài)時，可以查詢不同CA頒發(fā)的證書狀態(tài)。

OCSP Toolkit封裝證書應(yīng)用的證書狀態(tài)查詢請求，然后發(fā)送給OCSP Server，并將從OCSP Server響應(yīng)中解析的證書狀態(tài)，返回給證書應(yīng)用。OCSP Toolkit為證書應(yīng)用提供簡單、易用的用戶接口。減輕了證書應(yīng)用開發(fā)者的工作量。