双模式部署架构
一套 CA 签发底座,两种私有化交付模式 — 证书私钥永久掌握在企业自己手中
混合 SaaS + 本地私有化 CA 签发
公有 SaaS 云端承载证书管理门户、公网 OCSP/CRL 查询与站点运维监控;企业内网仅部署 CA 证书签发引擎,根密钥与业务私钥存于本地密码机,云端仅接收签发指令、同步公钥与吊销清单。
- 密钥根 CA / 证书私钥仅存本地,云端无密钥
- 合规等保 2.0 · 基础密评 · 公网业务零压力
- 成本云端承担门户与监控运维 · 3-5 日快速上线
证书管理门户
账号权限、在线申领、审核分发、吊销申请、操作审计与订单账单,云端 SaaS 开箱即用。
公网 OCSP/CRL 查询
对外站点可直接访问云端查询节点,分担出口带宽,自动同步吊销清单,不触及密钥资产。
站点运维监控
SSL 漏洞扫描、到期预警、异常告警多渠道推送,检测规则云端持续更新。
本地 CA 签发引擎
证书签名与 CRL 生成完全在内网运行,密钥由密码机 / KMS 本地托管,私钥永不外传。
适配场景:中型政企、园区平台、互联网子公司、政务对外服务 — 有公网业务且需控制私有化硬件与运维投入。
全栈离线纯私有化 CA 部署
门户、签发、内网 OCSP/CRL、离线监控四大模块 100% 内网部署,全程切断外网访问。密钥、证书、用户数据与审计日志全部本地留存,断网环境全功能可用。
- 隔离物理内网隔离 · 数据零出域
- 密评密评 · 涉密 · 金融强合规
- 可用断网可用 · 全链路自主可控
证书业务管理系统
内网门户、多级审核、吊销管理、角色分权与全链路操作审计,用户数据与业务日志永久本地存储。
CA 证书签发引擎
离线签发各类证书与 CRL,根 CA / 二级 CA 私钥密码机托管,支持国密 SM2 与 RSA 双算法。
内网 OCSP/CRL 查询
本地 OCSP 响应与 CRL 分发,仅服务内网业务系统,吊销列表本地生成、本地分发。
离线站点运维监控
内网资产巡检、SSL 漏洞检测、到期预警,特征库离线导入更新,告警仅在内网渠道推送。
适配场景:国有大行、证券保险、军工科研、央企核心内网、涉密政务、关基单位 — 要求物理隔离与数据零出内网。
双模式核心差异
按企业安全管控等级与运维成本需求,灵活选择部署形态
| 对比维度 | 混合 SaaS + 私有化签发 | 全栈纯私有化离线 |
|---|---|---|
| 核心 CA 签发引擎 | 企业本地部署,私钥内网自持 | 企业本地部署,私钥内网自持 |
| 证书管理门户 | 公有 SaaS 云端,仅同步公钥数据 | 内网独立门户,全数据本地存储 |
| OCSP/CRL 查询 | 公网云端节点,单向同步吊销清单 | 内网本地服务,不访问外网 |
| 站点 SSL 监控 | 云端 SaaS,自动更新漏洞规则 | 离线本地引擎,离线导入特征库 |
| 外网连通要求 | 内网签发服务可单向对接公网 SaaS | 全程物理隔离,禁止外网访问 |
| 密钥数据安全 | 根密钥 / 私钥仅存本地,云端无密钥 | 全部数据、密钥、日志本地留存 |
| 运维成本 | 低,云端承担门户、监控、查询运维 | 较高,企业自主维护整套系统 |
| 部署周期 | 短,仅交付签发核心模块 | 较长,全栈模块定制部署对接 |
| 合规适配 | 等保、基础密评、普通政企场景 | 密评、涉密、金融、军工强管控 |
为什么选择 XiSSL 私有化 CA
双模式灵活交付
混合 SaaS 轻量化与全离线纯私有化两套架构,统一签发内核,按需选择部署边界,适配不同行业安全管控标准。
密钥本地安全闭环
无论哪种模式,CA 根密钥与证书私钥仅存储企业本地密码机,云端仅同步公钥与吊销清单等非敏感信息。
国密全兼容合规
原生支持 SM2 国密与 RSA 国际算法,配套密评支撑材料,可快速完成商用密码应用安全性评估与等保测评。