本文分析和总结了PKI技术基础、PKIX-CMP标准规范,介绍了基于PKIX-CMP的CA系统的具体设计和实现.在CA系统的开发中用到了Cryptlib开发包,通过对该开发包的研究和应用,缩短了CA系统的开发周期,提高了系统运行的稳定性和服务效率.本文以模块化的思想设计CA系统,根据PKIX规范定义的PKIX模型将系统分为四个部分:CA服务器、RA服务器、WebServer、证书/CRL/密钥备份数据库.在具体实现中,按照当今软件最流行的组件封装开发方式,利用COM技术将功能模块封装在组件库中,实现了不同开发环境下的二进制代码重用.同时在基于组件库的模块化设计基础上,系统遵守分层的设计原则,分为CA系统接口层和CA系统实现层.本文在CA系统接口层基础上以B/S方式完成CA系统实现层.该CA系统不需要CA用户在客户机上安装任何程序,因此CA系统的升级对用户也完全透明.客户机只要有网页浏览器用户就可以通过浏览网页的方式完成相关操作,包括面向RA操作员的创建PKI用户、查询PKI用户名和初始化认证码、恢复私钥,以及面向PKI用户的证书申请、撤销证书、更新证书等功能,全部实际操作都在后台服务器上完成,不占用客户端计算机资源,而且其它开发者可以在该CA系统接口层上实现自己不同架构和操作界面的CA系统,具有很大的灵活性.本系统将对PKI的开发,特别是向着一个基于标准和互操作性的方向发展将具有一定的促进作用.