certificate-management/doc/需求文档.md

小型CA系统需求文档

1. 概述

小型CA系统是一个用于证书签发和黑名单查询的应用程序，采用前后端分离架构。前端使用Vue框架构建用户界面，方便用户提交证书签发请求和查询黑名单；后端使用Go语言开发，通过调用OpenSSL命令行工具实现证书相关操作，并提供API接口供前端调用。

2. 功能需求

2.1 证书签发

• 功能描述：允许用户提交证书签发请求，系统根据用户提供的信息调用OpenSSL命令行工具生成证书，并将生成的证书返回给用户。
• 输入：用户提交的证书签发请求，包括但不限于域名、组织信息、有效期等。
• 输出：生成的证书文件，包括证书文件、私钥文件和签发者证书。

2.2 黑名单查询

• 功能描述：提供API接口供用户查询当前的黑名单列表。
• 输入：无。
• 输出：当前的黑名单列表，包含被禁止的域名、IP地址等信息。

2.3 证书撤销

• 功能描述：允许管理员撤销已签发的证书，并将其加入黑名单。
• 输入：需要撤销的证书序列号或域名。
• 输出：撤销操作结果状态。

2.4 权限管理

• 功能描述：提供基于角色的访问控制(RBAC)机制。
• 角色定义：
  • 管理员：可执行所有操作，包括证书签发、撤销和黑名单管理
  • 操作员：可执行证书签发和黑名单查询
  • 审计员：仅可查询黑名单和操作日志
• 权限验证：所有API请求必须携带有效的JWT令牌进行身份验证

3. 非功能需求

3.1 性能

• 系统应能支持并发的证书签发请求和黑名单查询请求，响应时间不超过2秒。

3.2 安全性

• 所有功能应具有基于角色的访问控制机制，不同权限用户只能访问授权功能。
• 证书签发过程应遵循安全的加密标准，确保证书的安全性。
• 所有API请求必须通过HTTP传输，并使用JWT进行身份验证。
• 敏感操作(如证书撤销)需要二次验证。
• 系统应记录详细的操作日志，便于审计追踪。

3.3 可扩展性

• 系统应易于扩展，支持未来增加新的证书类型或功能。

4. 架构设计

4.1 前后端分离架构

• 前端：使用Vue框架构建用户界面，负责展示和收集用户输入，并将请求发送到后端API。
• 后端：使用Go语言和Gin框架构建API服务，提供证书签发和黑名单查询等功能，并调用OpenSSL命令行工具处理证书相关操作。

4.2 数据库

• 使用MongoDB存储证书签发请求和黑名单信息。

4.3 证书签发流程

1. 用户通过前端提交证书签发请求。
2. 后端接收请求并验证用户权限。
3. 后端调用OpenSSL命令行工具生成证书。
4. 生成的证书存储在数据库中，并返回给前端。

4.4 黑名单管理流程

1. 用户通过前端请求查询黑名单。
2. 后端验证用户权限并从数据库读取黑名单信息。
3. 管理员可通过前端提交证书撤销请求。
4. 后端验证管理员权限并执行撤销操作，将被撤销证书加入黑名单。
5. 系统记录操作日志并返回结果。

5. 技术选型

5.1 前端技术栈

• 框架：Vue.js
• 构建工具：Vue CLI
• 样式：CSS Modules 或 Tailwind CSS

5.2 后端技术栈

• 语言：Go
• 框架：Gin
• 数据库：MongoDB
• 证书签发工具：OpenSSL命令行工具

6. 开发计划

6.1 第一阶段（1 - 2周）

• 设计数据库模型。
• 实现后端API接口。
• 实现证书签发功能。

6.2 第二阶段（3 - 4周）

• 实现黑名单查询功能。
• 前端界面开发。
• 系统集成测试。

6.3 第三阶段（5周）

• 系统性能优化。
• 用户手册编写。
• 系统部署。