Odwołanie certyfikatu. Standardowe metody utrzymywania dystrybucji i kontroli list odwołanych certyfikatów (CRL) są dość nieporęczne i trudno skalowalne. Entrust dzieli zbiór odwołanych certyfikatów na małe bloki (maks. 750 certyfikatów), a sama CRL zawiera tylko numery seryjne certyfikatów. Każdy certyfikat ma zarezerwowane miejsce na tej liście w momencie jego tworzenia, a sam certyfikat zawiera odnośnik do tej pozycji. Tak więc w momencie, gdy klient chce sprawdzić status certyfikatu, to przeszukuje tylko numery seryjne na tej liście, i sprowadza tylko niewielki podzbiór danych o odwołaniu.
Urząd rejestracji. Entrust/RA obsługuje rejestrację, uaktualnianie, odwoływanie, odtwarzanie i usuwanie użytkowników. W systemie można tworzyć dowolną liczbę zdalnych RA. Graficzny interfejs RA udostępnia hierarchiczne drzewo funkcji zawierające gałęzie użytkowników, audyt logów, przeszukiwanie baz danych, reguły polityki ochrony i CA.
Entrust/RA zapewnia także możliwość inicjowania procesu odtworzenia klucza. Procedura odtworzenia klucza podobna jest do procedury pierwszej rejestracji, ale udostępnia użytkownikowi pełną historię klucza zaraz po jego odtworzeniu. Odtwarzać można jedynie pary kluczy służące do szyfrowania danych, natomiast para służąca do podpisu istnieje tylko po stronie klienta.
Użytkownicy niestacjonarni. Profile Server przeznaczony jest do przechowywania podwójnie zaszyfrowanych kopii profili użytkowników niestacjonarnych (profile użytkowników stacjonarnych przechowywane są na ich desktopach). Komponent roamingu używa protokołu SPEKE (Simple Password Expotential Key Exchange), licencjonowanego przez firmę Integrity Sciences, dla zapewnienia chronionego dostępu użytkowników mobilnych.
Proces rejestracji użytkownika (Trust Authority)
<span class="sub3">Trust Authority 3.1</span>
SecureWay Trust Authority 3.1 firmy IBM jest częścią rodziny First Secure, zawierającej między innymi ochronę antywirusową, wykrywanie włamań, kontrolę dostępu oraz zaporę ogniową, a także zestaw narzędzi projektowania aplikacji.
Trust Authority (TA) zapewnia zarówno funkcje certyfikowania szyfrowania, jak i podpisu cyfrowego, zapewniając środki do uwierzytelniania użytkowników i bezpiecznej komunikacji. System może pracować na platformach AIX/6000 i Windows NT. Główne moduły systemu są następujące:
Trust Authority Server - centralny serwer wiążący wszystkie komponenty systemu. Utrzymuje konfiguracyjną bazę danych i zapewnia wszelkie środki do administrowania systemem.
Registration Authority (RA) - komponent zarządzający procesem rejestracji. Wymusza stosowanie lokalnej polityki biznesowej w celu zapewnienia wydawania certyfikatów jedynie zaaprobowanym jednostkom i używania ich jedynie do zaaprobowanych celów.
Podsystem audytu - zapewniający rejestrowanie wszystkich akcji związanych z bezpieczeństwem systemu.
WebSphere Application Server - jest to zestaw produktów, zawierający m. in. IBM HTTP Server, zapewniający bezpieczną podstawę dla transakcji sieciowych. Server jest serwerem aplikacji Javy przeznaczonym do zarządzania i uruchmiania aplikacji webowych. Zapewnia on środowisko wykonawcze dla programów Javy używanych w aplikacjach rejestracji Trust Authority. W systemie tym oprogramowanie serwera webowego, ze względów bezpieczeństwa, musi być zainstalowane na tej samej maszynie co RA. W komunikacji używany jest protokół HTTP i HTTPS oraz SSL.
System bazy danych - TA używa bazy danych IBM DB2 Universal Database. Komponenty serwera utrzymują oddzielną bazę danych dla danych konfiguracyjnych, rejestracyjnych, danych o certyfikatach i katalogu. DB2 zapewnia mechanizmy ochrony i odpowiednią pojemność bazy.
Server katalogu - IBM SecureWay Directory zintegrowany z DB2 utrzymuje informacje o certyfikatach w formie scentralizowanej. Dzięki integracji z DB2 katalog może obsługiwać do kilkudziesięciu milionów pozycji.
Komponenty strony klienckiej - TA zapewnia zarówno rozwiązanie oparte na przeglądarce, jak również oprogramowanie klienta oparte na Javie - w przypadku braku standardowej przeglądarki.
