数字证书是一种权威性的电子文档。它是由一个权威机构——CA(Certification Authority)发行的,人们可以在互联网交往中用它来识别对方的身份。当一方需要给另一方发送加密信息时,则首先需要获得对方的数字证书。在一个存在多个CA的PKI(Public Key Infrastructure,公开密钥基础设施)体系中,如何跨越不同CA在线查取证书是一个到目前为止还没有很好解决的关键问题。本文对数字证书的查取技术进行了研究,针对数字证书跨CA查取的需求,设计出一种基于证书网关的跨CA的数字证书查取系统,该系统在不改变CA现有结构、不要求统一命名空间的前提下,实现了数字证书跨CA的查取。证书用户在任意一个CA登陆系统后,向证书网关提交用户名、电子邮件等查询条件,查询到系统中所有CA中符合查询条件的用户的数字证书。证书用户能根据需要,选择下载搜索到的用户的数字证书。本文研究了数字证书跨CA查取系统的网络结构,分析了证书查询请求的转发方式,通过广度优先生成树的方式优化了网络结构,并通过证书网关的配置文件实现了网络优化。本文通过超文本传输协议实现了证书用户和证书网关之间的交互,证书用户以浏览器为客户端,通过网页将数字证书查询请求提交给证书网关所在的Web服务器进行处理。证书网关与证书网关之间使用Web Services协议进行交互,通过Web Services服务的接口,能获得其他网关所在CA的数据库的用户的数字证书,实现了证书网关之间的通信。证书网关与数据库之间使用的是JDBC技术,证书网关能快速的查询并获取用户的数字证书。本文使用的是LDAP(Lightweight Directory Access Protocol)证书库,定义了一条数据库的Schema,增加了一个对象类,此对象类具有证书区别名的属性。在证书库中的每个用户条目都包含用户名、电子邮件、证书区别名、证书等属性,证书用户能通过用户名、电子邮件、证书区别名等查询条件获取对应用户的数字证书。