现有CA系统可以完成基本的证书申请和签发流程，但没按规范设计，功能欠缺和模块划分不符合要求，现请根据《GM T 0034-2014 基于SM2密码算法的证书认证系统密码及其相关安全技术规范》重新划分功能模块，现有已做好的功能保留，对CA系统如下调整及补充：

1、 在现有CA系统基础上，将系统分成RA（证书注册机构）、CA（证书认证机构）、OCSP系统（待完善）和CRL查询系统（缺少）
1.1、RA包含用户注册管理系统（分本地和远程系统）、证书管理系统和安全管理系统，负责受理数字证书的申请、更新、恢复和注销等证书的全生命周期业务，RA接口（针对通过接口提交CSR的情况）请求需要有IP授权控制（本地）用户注册管理系统部署在内网（可以和证书管理系统合在一起），由RA操作员负责用户证书/CRL的申请、审核以及证书的制作，其主要功能如下：
a）用户信息的录入：录入用户的申请信息，用户申请信息包括签发证书所需要的信息，还包括用于验证用户身份的信息，这些信息存放在用户注册管理系统的数据库中。用户注册管理系统EXCEL文件格式批量导入的用户信息。
b）用户信息的审核：提取用户的申请信息，审核用户的真实身份，当审核通过后，将证书CSR提交给CA签发系统。
c）用户证书下载：签名密钥对由UKEY生成，系统不保存用户签名私钥；系统默认生成双证书（缺少），即生成签名证书和加密证书，双证书都下载到UKEY。
d）安全审计：负责对用户注册管理系统的管理人员、操作人员的操作日志进行查询、统计以及报
1.2、远程用户注册管理系统部署在外网，负责对外开放用户注册，用户可以自行提交CSR申请到RA，由RA操作员审核后推送到CA签发，支持从RA数据库或从目录服务器下载证书进UKEY里；
1.3、证书管理系统是证书认证系统中实现对证书/证书撤销列表的申请、审核（提供人工审核和自动审核两种模式）、生成、签发、存储、发布、注销、归档等功能的管理控制系统；
1.4、CA由证书/CRL生成与签发系统、证书/CRL存储发布系统构成，负责对RA提交的CSR和CRL进行签发和生成证书/CRL（提供人工审核和自动审核两种模式，并支持多级CA签发）,系统默认生成双证书，其中加密证书的密钥对暂时由CA应用软件生成，证书默认保存在数据库并同步返回给RA；存储发布系统负责证书/CRL文件的备份和还原（缺少）和打包下载，并支持将证书/CRL文件发布至主目录服务器（LDAP）和从目录服务器（缺少），CRL支持手工和自动发布模式（缺少），CA要支持对RA进行IP授权访问（缺少）
2、 RA和CA需要采用UKEY登录模式（缺少），可照搬签名服务器的UKEY登录代码进来
3、 RA和CA都缺少数据库的备份和还原功能，系统的操作日志要求有导出备份功能
4、 证书CRL查询系统（缺少）
5、 OCSP系统请按规范的要求进行完善设计，之前的设计只具体一个简单的查询功能（详细看规范P9-P10）
6、 CA系统的初始化需按照规范P16-P17的要求完善
7、 缺少SSL证书功能
详谈