首页 / 解决方案 / 双模式私有化 CA

双模式部署架构

一套 CA 签发底座,两种私有化交付模式 — 证书私钥永久掌握在企业自己手中

混合 SaaS 与本地私有化 CA 签发架构图

混合 SaaS + 本地私有化 CA 签发

公有 SaaS 云端承载证书管理门户、公网 OCSP/CRL 查询与站点运维监控;企业内网仅部署 CA 证书签发引擎,根密钥与业务私钥存于本地密码机,云端仅接收签发指令、同步公钥与吊销清单。

  • 密钥根 CA / 证书私钥仅存本地,云端无密钥
  • 合规等保 2.0 · 基础密评 · 公网业务零压力
  • 成本云端承担门户与监控运维 · 3-5 日快速上线

证书管理门户

账号权限、在线申领、审核分发、吊销申请、操作审计与订单账单,云端 SaaS 开箱即用。

公网 OCSP/CRL 查询

对外站点可直接访问云端查询节点,分担出口带宽,自动同步吊销清单,不触及密钥资产。

站点运维监控

SSL 漏洞扫描、到期预警、异常告警多渠道推送,检测规则云端持续更新。

本地 CA 签发引擎

证书签名与 CRL 生成完全在内网运行,密钥由密码机 / KMS 本地托管,私钥永不外传。

适配场景:中型政企、园区平台、互联网子公司、政务对外服务 — 有公网业务且需控制私有化硬件与运维投入。

双模式核心差异

按企业安全管控等级与运维成本需求,灵活选择部署形态

对比维度 混合 SaaS + 私有化签发 全栈纯私有化离线
核心 CA 签发引擎 企业本地部署,私钥内网自持 企业本地部署,私钥内网自持
证书管理门户 公有 SaaS 云端,仅同步公钥数据 内网独立门户,全数据本地存储
OCSP/CRL 查询 公网云端节点,单向同步吊销清单 内网本地服务,不访问外网
站点 SSL 监控 云端 SaaS,自动更新漏洞规则 离线本地引擎,离线导入特征库
外网连通要求 内网签发服务可单向对接公网 SaaS 全程物理隔离,禁止外网访问
密钥数据安全 根密钥 / 私钥仅存本地,云端无密钥 全部数据、密钥、日志本地留存
运维成本 低,云端承担门户、监控、查询运维 较高,企业自主维护整套系统
部署周期 短,仅交付签发核心模块 较长,全栈模块定制部署对接
合规适配 等保、基础密评、普通政企场景 密评、涉密、金融、军工强管控

为什么选择 XiSSL 私有化 CA

双模式灵活交付

混合 SaaS 轻量化与全离线纯私有化两套架构,统一签发内核,按需选择部署边界,适配不同行业安全管控标准。

密钥本地安全闭环

无论哪种模式,CA 根密钥与证书私钥仅存储企业本地密码机,云端仅同步公钥与吊销清单等非敏感信息。

国密全兼容合规

原生支持 SM2 国密与 RSA 国际算法,配套密评支撑材料,可快速完成商用密码应用安全性评估与等保测评。

构建自主可控的私有化 CA 平台

轻量化 SaaS 门户 + 本地私有化签发,或全链路内网离线 CA 体系 — 证书私钥永久掌握在企业自己手中