KOAL WP-A04-格尔数字证书认证系统(SZT0901-SYT0901)白皮书

格尔数字证书认证系统产品白皮书

上海格尔软件股份有限公司

目录

1、前言 (3)

1.1背景 (3)

1.2名词解释 (4)

2、产品介绍 (6)

2.1产品简介 (6)

2.2产品组成 (7)

2.2.1格尔证书认证系统 (8)

2.2.2格尔用户注册系统 (8)

2.2.3格尔密钥管理系统 (9)

2.3产品系列 (9)

2.3.1企业版 (9)

2.3.2大客户版 (10)

2.3.3运营中心版 (10)

3、产品特性及功能 (11)

3.1基本特性 (11)

3.2高级特性 (11)

3.3兼容与扩展特性 (12)

3.4特别特性 (12)

4、附录 (13)

4.1SZT0901数字证书认证系统证书 (13)

4.2SYT0901密钥管理系统证书 (13)

4.3SRT0903身份认证系统证书 (14)

4.4相关名词解释 (14)

4.5PKI简介 (16)

1、前言

1.1背景

随着网络技术的不断发展，各种网络应用在给企业带来便捷高效的同时，也带来了安全管理和安全通讯的问题。为了解决网络安全问题，近年来，PKI（public key infrastructure）安全体系开始被引入并越来越多地得到应用，其运营管理机构一般又称为CA证书机构。自1998年至今已有多个不同规模的CA证书机构建成并运行，它们在电子政务和电子商务安全应用中发挥着重要的作用。

目前，我国CA证书机构按照应用环境/范围大体可分为以下四类：区域类、行业类、商业类和内部自用（企业）类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子政务业务与电子商务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA证书机构，主要是企业事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。PKI体系概念在安全领域得到的广泛认同，使国内越来越多机构、企业在进行网络安全建设时将PKI应用建设列为重要的基础设施。

上海格尔软件股份有限公司自1998年成立开始即进行了PKI平台产品的研制，深度参与区域、行业、企业的PKI平台建设，积累了丰富的大规模PKI体系建设经验，并推出了对应的PKI基础设施产品及应用产品。格尔数字证书认证系统是PKI体系基础建设的核心组成部分之一，是面向政府、金融、证券、电力、企业、证书运营中心等进行PKI体系建设的专门化电子证书中心产品。随着2009年国家标准密码算法(SM1,SM2,SM3)的发布，格尔软件第一时间发布了适用于国家标准密码算法的格尔证书认证系统产品，并在同一年参加了产品的安审和鉴定，获得相关的资质和证书(SZT0901、SYT0901、SRT0903)，成为全国第一家获得国家标准密码算法支持的公钥基础设施产品提供商。

1.2名词解释

?CA（Certificate Authority）：证书授权机构，负责颁发、公布和废除证书，并提供诸如证书暂停服务的可以信赖人员（自然人或组织）；

?RA（Registered Authority）：注册授权机构，负责向申请证书的人员或组织提供身份注册，审核的机构；

?X.509v3：是由IETF 提出的公开密钥基础架构规范的第三版；

?PKI（Public Key Infrastructure）：公开密钥基础架构；

?明文（plaintext 或message）：未经加密的原始数据；

?加密（encryption）：用某种方法伪装数据的过程；

?密文（ciphertext）：加密后的数据；

?解密（decryption）：将密文还原为明文的过程；

?密码算法（algorithm）：用于加密或解密的数学函数，简称算法。通常包括两个函数，一个用于加密，一个用于解密。如果密文的安全依赖于算法的保密，这种算法称为受限制的（restricted）算法；如果密文的安全不依赖于算法的保密，这种算法称为公开密码算法，如DES、RSA 、ECC、SM1、SM2等；

?数字签名：公开密钥算法的应用之一，用户可以采用自己的私钥对文件加以处理，由于私钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名；

?数字信封：是公开密钥算法的应用之一，在数字信封中，公开密钥用来加密会话密钥（在加密消息时临时产生的，用来加密明文的对称算法的密钥，加密后即清零）；

?数字证书：由用于标志通讯各方身份信息的一系列数据组成，一般由CA认证机构，即证书授权中心（Certificate Authority Center）发行。通常使用的数字证书的国际标准为X.509V3；

?密钥（key）：一个字符序列，公开密码算法中的加密或解密都依赖于它；用作加密时称加密密钥，用作解密时称解密密钥；

?对称算法（symmetric algorithm）：又称传统密码算法，解密密钥能从加密密钥中推算出来的密码算法。大多数对称算法中，加解密密钥是相同的。这些算

法也称单密钥算法。例如网盾中的"加密"功能就是单密钥算法的应用；

?公开密钥算法（public-key algorithm）：又称非对称算法，用作加密的密钥不同于用作解密的密钥，而且在合理假定的长时间内解密密钥不能根据加密密钥计算出来。用户要保障解密密钥的安全，而加密密钥则可以公开；

?公开密钥（public key）：公开密钥算法中的加密密钥，简称公钥；

?私人密钥（private key）：公开密钥算法中的解密密钥，简称私钥；

?个人证书：可以理解为含有私钥的证书；

?他人证书：可以理解为不含有私钥的证书；

?摘要算法：一种单向的算法，它对不定长度的数据进行计算，得出一定长度的计算结果，从这个结果无法反推出原始的数据。如果原始数据发生轻微的改变，则摘要结果就会发生重大改变，如果要改变原始数据的一部分而维持摘要不变是不可能的。同时，根据摘要产生另一条摘要与原始数据的摘要完全相同的数据也是不可能的。摘要算法的特性保证了如果数据在传输途中被破坏，无论这个破坏是有意的还是无意的，都一定能被检查出来；

?SHA-1 算法：一种优秀的摘要算法，它的计算结果为160 位（20 个字节），而且具有非常快的计算速度，是公认的安全、有效的摘要算法。

?椭圆曲线算法，一种非对称密钥生成和运算的算法

?SM1算法：国家标准对称算法。

?SM2算法：国家标准非对称算法，属于椭圆曲线算法中的一种。

?SM3算法：国家标准摘要算法。

2、产品介绍

2.1产品简介

格尔数字证书认证系统（又称格尔公钥基础设施产品），是格尔公司数字证书解决方案的基础平台。它包括格尔证书发证系统(又称SZT0901-KOALCA，简称KOALCA)、格尔用户注册系统(又称SZT0901-KOALRA，简称KOALRA)、格尔密钥管理系统(又称SYT0901-KOALKM，简称KOALKM)三个核心系统，配合OCSP 服务器、时间戳服务器、证书应用审计系统、在线服务系统等基础平台支持设施组成完整的、高效的认证体系基础设施架构，是一套成熟的、可靠的数字证书基础设施产品。

格尔数字证书认证系统在设计上符合国际通用标准和国家密码标准，同时严格遵循国家密码管理局发布的相关规范和标准，是一套开放式的系统，产品支持接入第三方KM、CA或RA。核心系统全部采用JAVA语言开发，具有良好的平台兼容性，可以支持AIX、Solaris、HP Unix、Linux、Windows等操作平台，支持国产的金仓、南大、达梦数据库及Oracle、DB2、Sybase、MSSQL等主流数据库。系统设计灵活、可扩展性强，支持多级CA的分布式部署。

格尔数字证书认证系统针对不同的客户需求，将产品划分为三个系列：

格尔数字证书认证系统企业版；

格尔数字证书认证系统大客户版；

格尔数字证书认证系统运营中心版本。

企业版的证书设计容量为1万，适用于中型企事业单位及中小企业用户，系统以硬件服务器的形式提供，也可以根据客户需求进行系统定制，由客户自行选择密码设备和数据库，具有部署快捷、操作简单、维护方便、管理简单等优点。

大客户版的证书设计容量为1万~50万，面向政府部门、大型企业和金融机构等用户，提供完善的开发接口，可以应对客户的复杂需求，如接入其它第三方CA或RA系统等。

运营中心版主要提供给区域CA和运营CA，证书容量设计为500万以上。

2.2 产品组成

格尔数字证书认证系统核心包括三个子系统：

格尔证书发证系统——CA ，又称SZT0901-KOALCA ，简称KOALCA 格尔用户注册系统——RA ，又称SZT0901-KOALRA ，简称KOALRA 格尔密钥管理系统——KM ，又称SYT0901-KOALKM ，简称KOALKM

图表1：系统结构图

图表2：格尔证书认证系统体系结构

2.2.2 格尔用户注册系统

图表3：格尔用户注册系统体系结构

图表 4格尔密钥管理系统体系结构

2.3 产品系列

根据用户的需求不同，格尔证书认证产品划分成三个系列，分别提供不同级别的服务：

图表5 格尔公钥基础设施产品线划分

2.3.1 企业版

格尔企业版CA 证书设计容量为1万张以下，主要面向大中型企事业单位及中小企业用户。格尔企业版CA 是完整的CA 系统，在系统结构上和大型CA 完全一致，包括有证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四

个部分。

格尔企业版CA以一体化的硬件服务器形式提供（推荐模式），也可以根据客户需求进行系统定制。格尔企业版CA提供如下完备的证书管理功能： 用户信息注册/签发

用户信息更新

证书恢复

证书废除

证书重发

微软智能卡证书/计算机证书/域控制器证书签发

证书注销列表(CRL)与CA证书下载

证书查询与发布

2.3.2大客户版

大客户版CA的证书设计容量为1万~50万，面向政府部门、大型企业和金融机构等用户，提供有完善的配套软件和开发接口，允许第三方的CA系统或RA 系统接入。大客户版CA涵盖企业版CA的所有证书功能，同时提供以下高级特性：

分级CA管理；

证书策略管理；

CRL策略管理；

证书模板管理；

RA管理；

证书库统计。

2.3.3运营中心版

专门针对证书运营中心建设，支持500百万以上的证书容量，具备最高的安全措施、管理审计机制和权限分配机制。

3、产品特性及功能

3.1基本特性

支持CA的树状信任模式，即系统可以支持CA多级扩展和多级认证；

支持SM2、RSA1024和RSA2048算法；

基于B/S结构的管理界面，内嵌Web Sever，采用https安全远程管理机制进行安全登录；

支持签发电子邮件证书和对应的证书发布模式，可以使用OutLook Express，OutLook，Foxmail等进行电子邮件的加密和签名；

支持签发用户证书，SSL客户端证书，机构证书，设备证书，VPN证书，代码签名证书；

强大易用的部署向导帮助用户快速进行产品部署；

针对中小应用，表现为易于部署与使用的硬件服务器；

支持内部日志和以SYSLOG方式向外发送日志；

支持签发SM3WITHSM2的证书；

支持国家标准介质接口；

3.2高级特性

具有灵活的策略配臵机制，可自定义证书策略；

支持MofN的安全登录机制；

支持管理与审计互相独立的二线三层的权限管理体系；

支持操作员权限的细分授权；

基于LDAP的证书和CRL发布，支持分块CRL与增量CRL发布；

支持基于HTTP的CRL发布；

支持直接使用国家标准接口或CSP接口模式签发双证书，无缝接入新的证书介质；

支持基于SM1/SSF33算法的密钥不落地机制。

支持双人制的管理模式；

支持批量注册、批量审核、批量签发和批量废除等批量化操作；

3.3兼容与扩展特性

支持Windows、AIX、Solaris、HP Unix、Linux等操作系统平台；

支持Iplanet Directory Server，IBM Directory Server，ITec Directory Server，Active Directory等多种LDAP发布系统；

支持国产的金仓、南大、达梦数据库及Oracle、DB2、Sybase、MSSQL 等主流数据库；

支持接入第三方KM、CA、RA；

跨平台支持SJY42C、SJH0901-B、SJJ1012、SJJ1115、SJY42、SJY15-C、SJL22等多种加密机；

具备百万级以上的证书服务管理能力。

3.4特别特性

支持签发微软的智能卡登录证书、域控制器证书、计算机证书，可以配臵使用ActiveDirectory发布证书与黑名单，配合使用可以实现微软的智

能卡登录，安全锁定工作站，因特网访问控制服务(IAS)；

支持代码签名证书发放；

支持备份发布机制；

支持使用内嵌式数据搭建测试系统；

支持使用内嵌简易的用户密钥管理模块进行无KM测试；

4、附录

4.1SZT0901数字证书认证系统证书

4.2SYT0901密钥管理系统证书

4.3SRT0903身份认证系统证书

4.4相关名词解释

CA（Certificate Authority）：证书授权机构，负责颁发、公布和废除证书，并提供诸如证书暂停服务的可以信赖人员（自然人或组织）；

RA（REGISTERED Authority）：注册授权机构，负责向申请证书的人员或组织提供身份注册，审核的机构；

X.509v3：是由IETF提出的公开密钥基础架构规范的第三版；

PKI（Public Key Infrastructure）：公开密钥基础架构；

明文（plaintext或message）：未经加密的原始数据；

加密（encryption）：用某种方法伪装数据的过程；

密文（ciphertext）：加密后的数据；

解密（decryption）：将密文还原为明文的过程；

密码算法（algorithm）：用于加密或解密的数学函数，简称算法。通常包括两个函数，一个用于加密，一个用于解密。如果密文的安全依赖于

算法的保密，这种算法称为受限制的（restricted）算法；如果密文的安

全不依赖于算法的保密，这种算法称为公开密码算法，如DES、RSA等； 数字签名：公开密钥算法的应用之一，用户可以采用自己的私钥对文件加以处理，由于私钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名；

数字信封：是公开密钥算法的应用之一，在数字信封中，公开密钥用来加密会话密钥（在加密消息时临时产生的，用来加密明文的对称算法的密钥，加密后即清零）；

数字证书：由用于标志通讯各方身份信息的一系列数据组成，一般由CA 认证机构，即证书授权中心（Certificate Authority Center）发行。证书的国际标准有X.509与SDSI；

密钥（key）：一个字符序列，公开密码算法中的加密或解密都依赖于它；

用作加密时称加密密钥，用作解密时称解密密钥；

对称算法（symmetric algorithm）：又称传统密码算法，解密密钥能从加密密钥中推算出来的密码算法。大多数对称算法中，加解密密钥是相同的。这些算法也称单密钥算法。例如网盾中的"加密"功能就是单密钥算法的应用；

公开密钥算法（public-key algorithm）：又称非对称算法，用作加密的密钥不同于用作解密的密钥，而且在合理假定的长时间内解密密钥不能根据加密密钥计算出来。用户要保障解密密钥的安全，而加密密钥则可以公开；

公开密钥（public key）：公开密钥算法中的加密密钥，简称公钥；

私人密钥（private key）：公开密钥算法中的解密密钥，简称私钥；

个人证书：可以理解为含有私钥的证书；

他人证书：可以理解为不含有私钥的证书；

摘要算法：一种单向的算法，它对不定长度的数据进行计算，得出一定长度的计算结果，从这个结果无法反推出原始的数据。如果原始数据发生轻微的改变，则摘要结果就会发生重大改变，如果要改变原始数据的一部分而维持摘要不变是不可能的。同时，根据摘要产生另一条摘要

与原始数据的摘要完全相同的数据也是不可能的。摘要算法的特性保证

了如果数据在传输途中被破坏，无论这个破坏是有意的还是无意的，都

一定能被检查出来；

SHA-1算法：一种优秀的摘要算法，它的计算结果为160位（20个字节），而且具有非常快的计算速度，是公认的安全、有效的摘要算法。

4.5PKI简介

数字认证信任技术主要是为网络信息空间提供一个信任的基准，即在用户实体和虚拟的网络空间中的用户角色之间建立一种映射关系，以便能将现实的物理世界中的信任关系移植到虚拟的网络空间中。

目前建立信任管理体系的关键技术主要是公钥基础设施PKI技术，该技术通过公钥密码体制中的用户私钥的机密性来提供用户身份的唯一性验证，并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明，建立了用户公钥到证书ID号之间的唯一映射关系。数字证书中的信息通过数字信封技术和数字签名技术提供了完整性的保护，因此可以通过公开的方式（如LDAP服务）对外发布。

由于数字证书本身是公开的，因此在身份验证过程中必须通过公钥与私钥之间的唯一映射关系（由公钥加密体制自身提供保证）来间接建立用户私钥（用户身份）和证书ID号之间的映射关系。在统一的PKI信息安全平台实现中，用户的私钥是存放在实体鉴别密码器中的，因此私钥与用户身份之间的映射关系又多了实体鉴别密码器这一物理实体层的机制。

在多信任域的系统结构下，统一信任域内所颁发的数字证书将遵循相同的证书策略，而不同的信任域之间则可能存在策略上的差异。在进行跨信任域的信任验证操作时，必须首先就所使用的证书策略达成一致，才能保证多信任域体系结构所提供信任管理的一致性。

信任管理体系作为一种主流的第三方信任或公证管理体系已经在电子商务领域中得到了广泛的应用，而且已经进入正常服务运营的阶段。国外一些信息化程度较高的国家均已建立了完善的电子商务信任管理服务体系，面向一般公务员

提供信任管理服务。

在典型的电子商务业务活动中，业务服务机构和各级机关人员通过信任管理服务体系相互验证对方的身份，并在此基础上完成最终的业务处理。由于电子商务在全球范围内（尤其是发达国家）的普及和推广，应该可以认为PKI技术的合理性和可行性已经得到了充分的验证和说明。

通常情况下，PKI数字认证系统建设由密钥管理中心KMC、证书认证中心（CA）、证书注册审核中心（RA）、证书/CRL发布及查询系统以及和应用系统间的接口五部分组成，其功能结构如下图所示：

图表 5 PKI数字认证中心功能结构

密钥管理中心（KMC）：是公钥基础设施中的一个重要组成部分，负责为CA 系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。

认证中心（CA）系统：CA认证中心是PKI公钥基础设施的核心，它主要完成生成/签发证书、生成/签发证书撤销列表（CRL）、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。

注册中心（RA）系统：RA注册中心是数字证书的申请、审核和注册的机构。它是CA认证中心的延伸，在逻辑上RA和CA是一个整体，主要负责提供证书注

册、审核以及发证功能。

证书发布与查询服务系统：证书发布与查询系统主要提供LDAP服务、OCSP 服务和注册服务。注册服务为用户提供在线注册的功能；LDAP提供证书和CRL 的目录浏览服务；OCSP提供证书状态在线查询服务。

系统应用接口：系统应用接口为外界提供使用PKI安全服务的入口。系统应用接口一般采用API、JavaBean、COM等多种形式。

以上五部分之间的配合协作，对外提供PKI信任基础设施的安全服务。

广州市数字证书管理中心国税网办应用数字证书申办指引

广州市数字证书管理中心国税网办应用数字证书申办指引 一．申办流程 （一）申办方式 办理方式分为网上申办和培训现场填表办理两种。 1.网上申办：准备好已连接打印机且能上互联网的电脑，登录数字证书管理中心网站https://www.wendangku.net/doc/0c10711919.html, 点击“机构证书在线申请”，根据界面提示，认真阅读申请责任书，并填写相关信息，填写完毕后，需要打印一式三份的申请表和协议书。 2.现场填表办理：与网上申办不同之处在于用户是在网点现场填写申请表格，用户需携带公章到经 办网点。流程相对网上申办方式复杂，建议所有用户采用网上申办方式。 （二）网上申办流程 下面根据用户目前的两种类型分别介绍网上申办流程： A．全新证书用户B.已有证书用户(已申领广州市市国家税务局网上报税证书用户) A全新证书用户申办流程 1)登陆https://www.wendangku.net/doc/0c10711919.html,选择“机构或企业数字证书在线申请”，首先认真阅读数字证书申请责任书， 同意责任书中条款方可进入申请页面，询问是否办理过数字证书选项选择否 2)选择您要开通的国税业务和年费缴纳期限 3)自助选择您要领取证书的地点。 4)如实填写机构相关资料信息。 5)填写完毕按提交后，注意同时打印申请表格一式三份，并加盖公章。请保存好您的受理编号和 证书申请ID号，该号可用于在证书管理中心的网站上查询您的证书状态。 6)申请完毕后,请保留好您的申请表格，数字证书管理中心会在7到10个工作日内生产出您申请的 数字证书。您将会在这个时间范围内得到数字证书管理中心的证书领取通知，如果您没有得到 通知也可以登录网站https://www.wendangku.net/doc/0c10711919.html,查询您的证书受理状态，用户名为您的ID号，受理编号为 密码,登陆网站后可以查询您的证书状态,状态为“受理中”则您还需要继续等待,当您看到证书状 态为“可领取”或“已派区”时，请携带好相关资料前往相关证书服务网点领取您的数字证书。 7)前往服务网点领取数字证书 需要携带的资料及费用包括： ?单位性质的证明文件原件及复印件（营业执照（副本））（复印件一式三份需加盖单位公章）。 ?组织机构代码证原件及复印件（副本）（复印件一式三份需加盖单位公章） ?国税税务登记证原件及复印件(复印件一式三份需加盖单位公章) ?法定代表人或办理人的身份证原件及复印件（复印件一式三份需加盖单位公章）。 ?打印好的申请表及申请责任书（一式三份需加盖单位公章）。 ?证书介质费用和服务费用。收费标准见后续收费表。 8)证书安装和使用，详见安装使用手册。 B 已有证书用户 此类用户本身已经申办过社保机构数字证书，需要开通市国税网办服务有两种选择：?新办理市国税网办业务专用的机构业务（操作员）证书。 ?共用原来的机构数字证书，直接开通市国税网办服务。 9)机构操作员证书申办流程 登录网站https://www.wendangku.net/doc/0c10711919.html,，进入机构操作员证书申请窗口后,、填写您的机构数字证书ID号。 （请注意:此ID号为您企业领取网上社保数字证书时系统所赋予的ID号,请在您的数字证书 包装盒外表查找。如果无法找到，请电话咨询客户热线。由于省社保证书用户的机构证书ID 号没有告知用户本身，因此用户需要先电话咨询客户热线，我们的服务人员将为您查询系统 分配给您的ID号。）

数字证书登陆常见问题解决方法

数字证书登陆常见问题解决方法 问题一、-10101042错误信息没有符合条件的证书 原因分析：由于客户使用了安全卫士等工具在启动项把我们的 (SMKEYU1O00没有检测到证书所以导致这样的问题 KEY的启动程序g SMKeyU 1000_禄圳性启盘和金晉无眉弁8.23M 錐捋呱扶匕开启荼止启功 解决办法： 第一步，检查数字证书是否已接到电脑上，灯是否亮。 第二步，检查数字证书的驱动是否已安装 第三步，用管理工具登陆检查一下有没有数字证书在UKEY里面 第四步，检查电脑的右下角任务栏里有没有一个U盘图标 U USBKET设备 诟BK町已经插 ZJ 如果没有U盘图标执下面的操作 (1 )执行桌面上的管理工具会自动的调用SMKEY Mon itor.exe 言理工具 (2需手动找到下面这个目录 深圳CA数字证书EKEY t理工具\SMKEYMonitor.exe 双击运行SMKEYMonitor.exe

SMKEYIMonitor. exe； 执行以上操作后应该可以出来一个这样的图标 廿 USBKET设备 USBKtygg 插入I 出现这样的图标就可以登陆本系统。 问题二： 登陆时提示，登陆失败，请检查是否正确安装驱动程序！点击这里下载安装驱动程序。 M”瑛圳帀顷必积盘営理申心”审的聳和c#芋证芳咗?如集氓仍任话耐和谊财ujrjmit辰農诩加軟攻」山頼 解决办法： 双击IE上面的黄色提示加载项，并安装深圳CA数字证书控件 并检查IE的加载项有没有启动（IE-工具-管理加载项） 此忙站龍鼻妥捷以下血星n ”瑕MI帀住翦公积丄誉理申匕”即的“诺划忙皿芋哑於园徉?.如簾够広任适障站和逗负珥莽打鼻宜農话加蛊3b d学i

KOAL WP-A04-格尔数字证书认证系统(SZT0901-SYT0901)白皮书

格尔数字证书认证系统产品白皮书 上海格尔软件股份有限公司

目录 1、前言 (3) 1.1背景 (3) 1.2名词解释 (4) 2、产品介绍 (6) 2.1产品简介 (6) 2.2产品组成 (7) 2.2.1格尔证书认证系统 (8) 2.2.2格尔用户注册系统 (8) 2.2.3格尔密钥管理系统 (9) 2.3产品系列 (9) 2.3.1企业版 (9) 2.3.2大客户版 (10) 2.3.3运营中心版 (10) 3、产品特性及功能 (11) 3.1基本特性 (11) 3.2高级特性 (11) 3.3兼容与扩展特性 (12) 3.4特别特性 (12) 4、附录 (13) 4.1SZT0901数字证书认证系统证书 (13) 4.2SYT0901密钥管理系统证书 (13) 4.3SRT0903身份认证系统证书 (14) 4.4相关名词解释 (14) 4.5PKI简介 (16)

1、前言 1.1背景 随着网络技术的不断发展，各种网络应用在给企业带来便捷高效的同时，也带来了安全管理和安全通讯的问题。为了解决网络安全问题，近年来，PKI（public key infrastructure）安全体系开始被引入并越来越多地得到应用，其运营管理机构一般又称为CA证书机构。自1998年至今已有多个不同规模的CA证书机构建成并运行，它们在电子政务和电子商务安全应用中发挥着重要的作用。 目前，我国CA证书机构按照应用环境/范围大体可分为以下四类：区域类、行业类、商业类和内部自用（企业）类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子政务业务与电子商务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA证书机构，主要是企业事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。PKI体系概念在安全领域得到的广泛认同，使国内越来越多机构、企业在进行网络安全建设时将PKI应用建设列为重要的基础设施。 上海格尔软件股份有限公司自1998年成立开始即进行了PKI平台产品的研制，深度参与区域、行业、企业的PKI平台建设，积累了丰富的大规模PKI体系建设经验，并推出了对应的PKI基础设施产品及应用产品。格尔数字证书认证系统是PKI体系基础建设的核心组成部分之一，是面向政府、金融、证券、电力、企业、证书运营中心等进行PKI体系建设的专门化电子证书中心产品。随着2009年国家标准密码算法(SM1,SM2,SM3)的发布，格尔软件第一时间发布了适用于国家标准密码算法的格尔证书认证系统产品，并在同一年参加了产品的安审和鉴定，获得相关的资质和证书(SZT0901、SYT0901、SRT0903)，成为全国第一家获得国家标准密码算法支持的公钥基础设施产品提供商。

苏州市数字证书认证中心电子认证服务协议(非个人)

苏州市数字证书认证中心电子认证服务协议（非个人） 数字证书（以下简称证书）是苏州市数字证书认证中心（以下简称苏州CA中心）签发的网上凭证，是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人（以下简称证书申请人）均可向苏州CA中心的业务受理审批单位申请领用数字证书。 为了保障数字证书申请人的合法权利，维护苏州市数字证书认证中心的合法经营权益，双方本着自愿、平等的原则，达成以下协议书条款，双方共同遵守执行。 一、协议双方的权利与责任 1.证书申请人的权利与责任 （1）证书申请人必须按照苏州CA中心的有关规定办理申请手续，如实提交各种申请材料，如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性及完整性负责。 （2）证书申请人在身份审核时，故意或过失提供不真实资料，导致苏州CA中心签发证书错误，因而造成损失时，由证书申请人承担一切相关责任。 （3）证书申请人应当妥善保管苏州CA中心所签发的数字证书和私钥及保护密码，不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时，证书申请人应当自行负责承担一切责任；如遇遗失或被窃，应立即向苏州CA中心或其受理审批单位办理挂失/报失，并配合调查。 （4）如发生第（3）条情况，或者证书申请人不希望继续使用数字证书时，应当立即到受理审批单位申请报失数字证书。报失手续遵循苏州CA中心的规定。苏州CA中心在接到受理审批单位的报失申请后，在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。 （5）证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。苏州CA中心对此不负任何责任。 （6）证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若单位的法人、网站等发生变动，应立即通知苏州CA中心。因证书申请人信息发生变化且未及时通知苏州CA中心更新证书信息而造成的不良后果由证书申请人自行承担。 （7）所有使用证书在网上进行的电子商务活动均视为证书申请人所为，因此而产生的一切后果均由证书申请人负责，证书申请人必须遵守国家的相关规定。 （8）证书申请、废止、更新等的审核权在苏州CA中心，证书申请人必须按照苏州CA中心制定的有关规定按期缴纳相关费用。如申请人未能按时缴纳费用的，由此产生的一切后果均由证书申请人承担。 （9）如果证书申请人单位停业或解散时，则其法定责任人需要携带相关证明文件及原数字证书申请表格存根，向苏州CA中心请求报失证书申请人数字证书。如果数字证书申请证明遗失，凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。 2.苏州CA中心的权利与责任 （1）苏州CA中心发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯，不能作为其他任何用途。若证书申请人将其数字证书用于其他用途，苏州CA中心不承担任何责任。

数字证书认证服务机构名单

卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法（试行）》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求，经认真复核和测试，现公布通过卫生部复审、测试的数字证书认证服务机构名单，名单如下： 第一批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2010）23号）（中华人民共和国卫生部 2010-11-0414:35:09） 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2011）1号）（中华人民共和国卫生部2011-01-07 08:57:21） 一、新疆数字证书认证中心（有限公司） 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心（有限公司） 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2011〕9号） （中华人民共和国卫生部 2011-05-09 17:55:03）

一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2012〕2号） （中华人民共和国卫生部 2012-03-01 12:28:43） 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司

数字证书驱动安装说明

数字证书驱动安装说明 驱动安装步骤： 第一步：在GDCA网站（https://www.wendangku.net/doc/0c10711919.html,）或者网挂系统网站下载数字证书客户端普通版驱动（3.9版本以上）。 第二步：在安装包中，双击“Setup.exe”文件执行运行程序，进入程序安装主页面，如图1。 （图1） 第三步：在图1中，选择“安装GDCA数字证书客户端”选项，进入准备安装页面，如图2。 （图2） 第四步：单击“下一步”，进入用户信息页面，如图3。正确填写“用户姓名”和“单

位”，其他保持默认设置即可。 （图3） 第五步：单击“下一步”，进入到“自定义安装”页面，如图4。 （图4） 第六步：保持所有默认值设置，单击“下一步”，进入“请输入GDCA KEY序列号”页面，如图5。

（图5） 第七步：在“序列号”输入框输入已经办理的数字证书外壳上由字母和数字组成的8位序列码（如W807####）。单击“下一步”，进入“已做好安装程序的准备”页面，如图6。 （图6） 第八步：单击“安装”按钮，计算机自动进行安装。在自动安装过程中会弹出“请确认UKEY已经拔出！”页面，如图7。请在确定正在安装驱动程序的计算机上没有插入数字证书后，单击“继续”按钮。

（图7） 第九步：驱动程序安装完成后，自动弹出“安装完成”提示页面，如图8。单击“完成”按钮即可。 （图9） 第十步：在如图1所示的页面中，选择“退出”按钮退出“程序安装主页面”，并重新启动计算机。 第十一步：计算机重新启动后，插入数字证书，计算机会自动弹出提示信息，如图10所示。

（图10） 第十二步：打开IE浏览器（建议使用IE8版本），输入网上挂牌交易系统域名，在登录网页输入密码，并单击“登录”按钮。若出现如图11所示的提示信息，说明IE自动禁止了数字证书的加载。请查看浏览器是否有如图12所示的提示信息，重新进入登录页面，右键该提示信息并选择“允许运行该加载项”，装载完成后，输入密码进行登录即可。 （图11） （图12）

专利电子申请数字证书常见问题

专利电子申请数字证书常见问题 问： 什么是电子申请数字证书？ 答： 专利电子申请数字证书是国家知识产权局注册部门为注册用户免费提供的用于用户身份验证的一种权威性电子文档，国家知识产权局可以通过电子申请文件中的数字证书验证和识别用户的身份。数字证书还有对申请文件进行打包加密的功能。 问： 用户如何获取数字证书？ 答： 问： 用户数字证书如何备份？证书注销后如何重新申请？答： 问： 如何知道证书已经下载成功？ 答： 用户数字证书重新签发后需要如何操作？ 答： 问： 由于电脑重装系统，或其他原因导致数字证书不慎丢失，如何重新获取数字证书？ 答：

问： 数字证书如何供多台电脑共同使用？ 答： 问： 问： 如何设置用户数字证书的密码？ 答： 用户在下载证书的时候，会弹出安装数字证书的提示框，默认的安全级别为中级，此时点击【设置安全级别】，选择“高”，点击【下一步】，输入密码，点击【确定】，即可设置数字证书的密码。 问： 用户下载数字证书的时候没有设置密码，如何重新设置密码？ 答： 用户需要先从IE浏览器中导出数字证书，再将证书重新导入到IE浏览器中。导入时在根据页面上的提示，勾选“启用强私钥保护”和“标志此密钥是可导出的”选项，点击【设置安全级别】，选择“高”，点击【下一步】，输入密码，点击【确定】，即可重新设置数字证书的密码。设置密码后，在每次使用客户端进行数字签名时，系统都会弹出提示信息，要求用户输入密码。 问： 重装系统后数字证书丢失，应如何办理？要填什么表？答:

需要提交纸件形式的《电子申请用户注册事务意见陈述书》和相关证明文件复印件，重新申请证书。个人提交身份证复印件并签名，企业提交营业执照复印件并盖章。邮寄地址是： 北京市海淀区蓟门桥西土城路6号国家知识产权局专利局受理处，邮编： 100088。" 问： 数字证书可以重复下载吗？ 答： 数字证书不可以重复下载，用户下载证书后应立即备份，并妥善保存。 问： 有时候已经成功下载了用户数字证书，但是在客户端系统中无法查看该证书，这是什么原因？ 答： 如果使用的是正式环境下的数字证书，应当在客户端“系统设置”——>“选项”中选择“生产环境”；反之，如果使用的是测试环境下的数字证书，则应当在客户端“系统设置”——>“选项”中选择“测试环境”。 问： 上网看到注册成功了，登录后为什么没有显示用户证书那一栏？ 答： 临时用户不能下载数字证书。 问： 导出备份的数字证书导入其他电脑后，CPC客户端查看不到此证书，是什么问题？

省食品药品监督局管理平台数字证书办理流程

广东省食品药品监督局管理平台数字证书办理流程 （企业续期） 每个在广东省药监局平台备案过，需要在广东省药监局平台管理业务或者上报数据的单位，都符合申领该应用数字证书的条件。每个单位可以申请一个或者多个数字证书。以下流程对象为：非药店的各类型企业机构。 “续期”指贵单位已经有数字证书，但是希望延长有效期。流程如下： 续期方式分为两种：一、网上续期、二、线下续期（现场办理和快递办理）。流程如下： 一、网上续期 证书需在过期前天内才可进行网上续期申请，如果证书超过有效期，只能快递办理，或者携带相关资料到营业厅前台办理。 网上续期具体操作如下： 双击打开证书网上续期自助手册，按手册指引完成续期。 》》》》》》》 》C A证书网上续期自 助手册 《《《《《《《《 二、线下续期（现场办理和快递办理） 第一步：填写申请表，准备申请需要的资料 ()《广东药监企业数字证书申请表》（见附件，含协议书，一式二份），加盖单位公章； ()生产、经营或执业许可证，或所在药品监督管理机构、相关主管机构颁发的相关证件复印件一份，并加盖单位公章； ()企业法人营业执照（副本）复印件一份，并加盖单位公章； ()企业组织机构代码证(副本)复印件一份，并加盖单位公章（三证合一，则不需提供此项）； ()企业法定代表人身份证复印件一份，并加盖单位公章； ()经办人身份证复印件一份，并加盖单位公章。如现场办理，须提供经办人身份证原件备查。 ()需要续期的数字证书（电子密钥） 第二步：缴费和递交申请资料 根据广东省物价局粤价函［］号文件，数字证书的使用年费为： 如续期个证书年费用：*如续期个证书年费用：** 有两种递交资料的办理方式（选其一）： 第一种：快递办理

基于UKey数字证书实现身份认证

基于UKey数字证书实现身份认证 随着电子商务在线交易的流行，一些网上银行也推出了系列措施保证在线交易的安全，有使用软证书的，也有使用UKey硬证书的，这都是数字证书的身份认证的应用。下面我就说下从数字证书生成到身份认证实现的过程。 一、PKI搭建 一套完整的PKI（Public Key Infrastructure公钥基础设施）系统包括了KMC（密钥管理中心）、CA（Certificate Authority）、RA（Register Author注册审批机构），KMC负责密钥管理，CA是核心进行制作证书，RA系统提供证书业务申请审核。数字证书有RSA、ECC等算法的，按证书类型分个人证书、设备证书和机构证书，按用途有加密证书和签名证书。完善的CA系统一般会提供证书申请制作、撤消、冻结、解冻、续费、更新业务功能，还有相应的OCSP（在线证书状态协议）、CRL（证书撤消列表）查询服务等。Windows本身有可以集成CA，可在IIS内提供证书申请制作服务，这样搭建的CA适合较小范围数字证书应用的使用。PKI系统包括如下组成部分。 二、证书激活 向CA发送证书制作申请后，证书制作完成后怎么交付给客户使用呢？有一种方式是软证书，返回pfx标准格式的数字证书，导入到客户系统以供需要时选择使用。软证书是以文件形式保存的，并且可以标记允许再次导出，硬证书则是以UKey移动设备为载体，保存私钥和数字证书。 证书激活是指证书从CA制作出来到交付给客户以供使用的过程，软证书使用比较简单，一般CA在制作出证书会返回pfx标准格式的证书，只需要安装到系统。UKey硬证书则需要将私钥和数字证书导入到设备中，由于涉及到

北京数字证书认证中心

北京数字证书认证中心 单位数字证书申请表 用户在填写申请表之前，请仔细阅读以下注意事项： ●请用钢笔或圆珠笔如实、准确、清楚地一式两份填写，用户与证书受理点各执一份。 ●申请证书所需要提交的资料如下： ①企业需提交“企业法人营业执照（副本）”或“营业执照（副本）”的原件和复印件; 事业单位需提交“事业单位法人登记证（副本）”或“事业单位登记证（副本）”的原件和复印件; 其他单位提交上级主管部门或具有法人资格的挂靠单位签发的有效证明文件原件和复印件。 ②所有单位都需提交组织机构代码证（副本）的原件和复印件。 ③所有单位都需提交税务登记证（副本）的原件和复印件。 ④所有单位都需提交办理人有效身份证件的原件和复印件。 （注：以上所有复印件，必须加盖申请单位公章） ●用户在正式递交申请之前请仔细阅读“数字证书用户责任书”，一旦递交则视作承认并遵守责任书中的 各项规定，如违反规定，将接受处罚至承担法律责任。 ------------------------------------------------------------------------------------------------------------------------------------- 以下信息由单位填写： 计算机代码：□□□□□□□ 单位名称：______________________________________________________________________ 主管单位名称：___________________________________________ (如无主管单位，则填本单位名称) 邮政地址：_________________________________________邮政编码：□□□□□□ 单位电话：_______________________ 单位传真：______________________________________ 法人姓名：____________法人电话：____________ 法人电子邮件：_________________________ 组织机构代码：□□□□□□□□-□ 工商营业执照注册号：________________________________________________________________ 税务登记证号（地税）：□□□□□□□□□□□□□□□□□□ 办理人姓名：_______________________ 联系电话：___________________________________ 办理人身份证号：□□□□□□□□□□□□□□□□□□ 申请单位在此郑重申明：表内所填内容完全属实，接受据此颁发的数字证书，保证遵守证书申请责任书中所明确的职责，并承担相关法律责任。 单位法人签名：_______________ 日期：_____年____月____ 日申请单位盖章处 ------------------------------------------------------------------------------------------------------------------------------ 以下信息由证书受理点填写： 密码信封序列号：□□□□□□□□□□□□□□□ 受理人签名：________________ 受理日期：_____ 年____月____ 日证书受理点盖章处

HNCA数字证书RA系统建设方案

HNCA数字证书RA系统建设方案

目录 概述 (3) 第一章为什么要在各地市建RA系统 (4) 一、需求分析 (4) 二、方案可行性 (5) 三、在全省建立RA对信息化建设的意义 (7) 第二章建设什么样的RA系统 (8) 一、RA系统介绍 (8) 二、系统运行环境 (15) 第三章各地市信息办公室怎样建设RA系统 (17) 一、确定需求 (17) 二、签署协议 (17) 三、RA系统建设实施 (17) 四、RA系统测试 (17) 五、RA系统验收 (17) 六、文档评审 (17) 七、系统上线 (18) 第四章RA系统的运营模式 (19) 一、推广方式 (19) 二、运营方式 (20) 附件RA系统管理制度 (21) 概述

为解决Internet的应用安全问题,世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术(Public Key Infrastructure ),PKI(公钥基础设施)技术采用证书管理公钥，通过第三方的可信任机构即CA(Certificate Authority)机构，把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet 网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。 RA (Registration Authority)即数字证书注册审批机构，它是CA机构的重要组成部分，它面向终端用户，接受用户的证书申请信息、审核信息以及制作发放证书，并具有注销用户证书的功能。 河南省数字证书认证中心（简称HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立，在省工业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。 与HNCA合作在全省各地信办建立几家RA机构，作为区域性的认证服务中心，对我省信息化网络信任体系的布局是必要的，可行的，也是非常有意义的。 第一章为什么要在各地市建RA系统 一、需求分析 随着我省电子认证服务业务的发展，数字证书在各个领域的推广应用在不断创新，各地对数字证书的服务要求越来越迫切，所有这些应用都与当地政府的支持密不可分，政府在其中充当了服务的角色。为使政府的服务意识更加深入民心，在信息化网络安全领域方面，建立RA就是为了便于为百姓服务，并对信息化的推广起到保驾护航的作用。 在应用软件系统使用数字证书保障网络安全的体系中，涉及的角色一般有二方。用户方即证书持有者（机构或个人）、管理用户方(发证方)，下面就二方对建立RA的需求进行分析： 1、用户需要在本地制证发证的需求

汇信数字证书：常见问题汇总汇总

问题处理 5.1通用处理技能 5.1.1添加信任站点 查看方法：一般在当前打开的网页右下方会显示“可信站点”字样(如下图)。 如在当前网页右下方未显示信任站点的状态栏，点击当前浏览器上方的查看，状态栏一项打勾即可显示。 如果当前网页状态栏未显示“可信任站点”，而显示“未知区域”，则说明该站点还未被添加为可信站点，需重新添加。操作方法如下： 打开IE浏览器，点击工具—Internet选项—安全，选中受信任的站点或可信站点后点击站点，将需要添加信任站点的网址输入到“将该网站添加到区域中”并将“对该区域中的所有站点要求服务器验证”选项勾选去除，点击“添加”即可。 5.1.2安装证书信任链文件 当遇到证书路径有问题的情况下，电脑时间正常，则需要到汇信网下载中心，下载“ZJCA 证书信任链文件”（下图）， 信任链文件 解压后分别安装两个证书即可。以下图分解说明信任链安装过程：

备注：顺序从左至右。 5.1.3确认IE浏览器版本 打开任意一个网页，点击浏览器上方“帮助-关于Internet Explorer”即可查看浏览器的版本。 “e照通”支持的是以IE核心的浏览器版本，如世界之窗（The World）、傲游浏览器（Maxthon）、腾讯TT（Tencent Traveler）、360安全浏览器（360SE）、搜狗浏览器等；不支持的浏览器有火狐（Firefox）、Opera、苹果等非IE核心的浏览器。

5.1.4安全警报 登录网站时涉及到安全证书的情况下，浏览器将会提示安全警报，点击“是”继续即可。如下图。 5.1.5启用控件 （一）浏览器上被拦截的控件 点击拦截工具条，再点击“为此计算机上的所有用户安装此加载项”，在点击安装后即可，如下图。

数字证书安全认证解决方案

数字证书安全认证 解决解决方案方案 广东省数字证书认证中心 2008年

目 录 1 概述............................................................................................................3 2 需求............................................................................................................ 3 3 系统架构....................................................................................................5 4 主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7) 5 设备配置清单 (8)

数字证书管理使用规程

数字证书管理使用规程 一、总则 (一)为进一步规范“全国卫生监督信息系统”数字证书的使用，规范数字证书的管理，制定本规程。 (二)本规程所称数字证书，是指在“全国卫生监督信息系统”中使用的数字证书,主要是颁发给个人的数字证书，个人数字证书用于认证各级卫生监督工作人员的身份。 (三)本规程所称数字证书服务，主要包括：数字证书的申请、更新、撤销、解锁，以及数字证书的应用支持等。 二、数字证书的申请 (一)申请数字证书，由各单位统一收集证书申请者的信息。证书办理单位对证书申请人信息的真实性、完整性和准确性负责。 (二)办理数字证书的业务流程如下： 1.证书办理单位填写《信天行数字证书业务申请表》（附件1）。表中带*号为必填项，选择信天行数字证书（个人版），证书初次申请业务类型，加盖单位公章。 2.证书办理单位负责核实个人的姓名、身份证号码等身份信息，将个人申请信息填入《信天行数字证书业务申请明细表》（附件2），并加盖单位公章。 3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字

证书业务申请明细表》给卫生部卫生监督中心信息处。 4. 卫生部卫生监督中心信息处将信息提交给证书制作单位，统一制作证书，并发放给最终用户。 三、数字证书的更新 (一)数字证书有效期为一年。有效期满前一个月内，卫生部卫生监督中心信息处将通知各单位组织办理证书更新业务。证书更新方式为网上自主更新。 (二)办理证书网上自主更新的业务流程如下： 1.证书办理单位填写《信天行数字证书业务申请表》（附件1）。表中带*号为必填项，选择信天行数字证书（个人版），证书更新业务类型，加盖单位公章。 2.证书办理将需要更新证书的用户信息填入《信天行数字证书业务申请明细表》（附件2），并加盖单位公章。 3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。 4.卫生部卫生监督中心信息处经过审核及授权后，证书用户访问证书更新网址，使用原有证书登录并输入证书密码，按照提示完成证书更新。 5.用户在线更新步骤 1)证书更新网址： https://https://www.wendangku.net/doc/0c10711919.html,/userweb/download/down_update.as px

单位使用企业数字证书登录公积金网上政务大厅的办理流程

单位使用企业数字证书登录公积金网上政务大厅的办理流程 一、业务申请 （一）已有四川CA“e证通”企业数字证书的用户 (证书须在有效期内，且能正常使用) 填写《“E证通”公积金网上业务开通申请表》，并携带数字证书USBkey到成都住房公积金管理中心柜台申请开通。 （二）无四川CA“e证通”数字证书的用户，请按以下办理： 提交下列资料(均加盖公章，证照为最新年检有效) ①《“e证通”数字证书业务申请表》原件1份 ②企业法人营业执照(副本)复印件1份 ③组织机构代码证（副本）复印件1份 ④经办人身份证复印件1份 二、业务受理 新办数字证书的地点、方式，由成都公积金管理中心和四川“CA”认证中心根据情况确定后告知单位。 新办用户当月提交资料，请于次月凭电话通知，由经办人本人前来领取“e 证通”数字证书。 三、相关费用 已有证书开通业务免费 证书开户费：200元/个（2011年免开户费） 企业数字证书服务费：400元/年（2011年免费） KEY解锁：免费 证书变更：20元/次 遗失补办、损坏更换：80元/个 （解锁、证书变更、遗失补办、损坏更换请到四川CA数字证书窗口办理：

地址：草市街2号（四川省/成都市政务服务中心5楼） 电话：86936568 附件1：“e证通”数字证书业务申请表 附件一： “e证通”数字证书业务申请表 注意事项： 1、请用黑色水笔填写或电脑A4纸打印，一旦递交则视作承认并遵守《数字证书用户责任书》。 2、『新办』、『更新』、『变更』业务需携带以下资料（均加盖公章）： ①单位证照(副本)复印件一份 ②《组织机构代码证(副本)》复印件一份

③经办人有效身份证件复印件一份 3、『解锁』『注销』『补办』业务办理需携带以下资料（加盖公章）： ①经办人有效身份证件复印件一份 “e证通”数字证书用户责任书 数字证书（以下简称“证书”）用于标识网络用户的身份，四川省数字证书认证管理中心有限公司（以下简称“四川CA”）作为权威的、公正的第三方机构，为用户提供数字身份认证服务。 “e证通”是四川CA推出的在政府网上申报、网上审批业务中使用的，可以实现“一证多用”的数字证书。经“e证通”签名的电子文档与手写签名及纸质材料加盖公章具有同等法律效力。用户使用“e证通”经授权后可以进入多个政府职能部门的网上业务系统，能够降低开展网上业务的成本, 提高数字证书的使用效率，但同时也可能会使单位内部原本分权管理的核心信息无法实现分权管理。为合理使用“e证通”，在享受“e证通”好处的同时降低使用风险，特订立如下条款，四川CA和用户共同遵守执行： 一、用户知晓证书只能用于在网络上标识用户身份，不作其他任何用途，但各应用系统可以根据该功能对 其用途进行定义。用户应妥善保管数字证书，所有使用数字证书在网上作业中的活动均视为用户所为，用户对使用数字证书的行为负责，因此而产生的相关后果应当由用户自行承担。 二、用户在申请证书时请遵照四川CA的规程办理相关手续。 三、用户同意四川CA向有关部门和个人核实用户信息且四川CA有权合法收集、处理、传递和应用用户资 料，并按照国家有关规定对用户资料保密。 四、用户申请证书时应向四川CA提供真实、完整、准确的资料和信息。如用户故意或过失提供不真实资料 和信息而导致四川CA签发证书错误的，由用户承担所造成的一切责任和损失。证书申请者的申请一旦获得批准，无论是否已经接受证书，证书申请者自动成为证书用户。 五、用户因提供的资料信息如单位名称、单位注册号、组织机构代码等资料信息在证书有效期内变更的， 应当及时书面告知四川CA，并终止使用证书。在证书签发日起30日内发生变更的，四川CA提供免费变更服务。 六、用户应妥善保管证书和证书私钥。如因用户原因致使证书私钥泄露、损毁或者丢失的，损失由用户自 行承担。如证书私钥在证书有效期内泄露、损毁、丢失或可能泄露、损毁、丢失的，用户应及时向四川CA申请办理注销手续。注销自手续办妥时起生效，注销生效前发生的损失由用户自行承担。 七、用户终止使用证书时，应当立即申请注销证书。证书注销生效前，用户自行承担使用数字证书造成的 一切责任。 八、四川CA承诺，由于四川CA原因导致证书签发错误或证书私钥破译并对用户造成损失的，由四川CA向 用户承担赔偿责任。 九、由于不可抗力因素致使四川CA无法履行相应义务，四川CA不承担任何责任。 十、下列情形之一，四川CA有权注销所签发的证书并不承担任何责任。由此给四川CA造成损失的，用户 应当向四川CA承担赔偿责任： 1、提供的资料或信息不真实、不完整或不准确的； 2、证书信息有变更或证书私钥已经丢失或可能丢失，未终止使用该证书并通知四川CA的； 3、超过证书的有效期限使用证书的； 4、没有按照规定缴纳证书费用或其它相关费用的； 5、使用证书用于违法、犯罪活动的。 十一、证书的有效期为一年，自证书签发之日起计算。用户更新证书的，须在证书期限届满前30天以内向四川CA提出证书更新请求，否则，期限届满后证书将自动失效，四川CA对此不负任何责任。用户所提交的鉴证资料有效期先于证书的有效期届满的，用户应在原资料有效期届满前更新资料，否则四川CA有权注销用户的证书，若因此而造成损失，由用户承担。 十二、如果用户单位解散，法定责任人需要携带相关证明文件及原证书，向四川CA请求注销用户证书。相关责任人应当承担其证书在注销前相关行为所产生的责任。

OA系统CA数字证书认证和电子签名解决方案

某市OA系统（内外网）基于CA的身份认证和电子签名解决方案 1、用户背景 内蒙古某市下属2区、5县、4旗，人口300余万，该市交通发达，是内蒙连接东北的交通枢纽。 2、用户需求 通过与沟通，总结最终用户需求如下： ●BS架构的OA系统，采用Domino Notes开发的，用到金格的word控件， 主要是做痕迹保留用的，和系统登录无关。需要保证登录者身份的真实 性。 ●对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵 赖性，同时要考虑一个表单，多个领导会签的情况。 ●通过运营商组的专网，在网络出口已经部署防火墙。 3、解决方案 据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。 具体设计方案如下： ●在内网建设CA服务器。 ●密钥生成和管理由证书服务器密码机负责。 ●采用一主两从LDAP，内网部署一主一从，外网部署一从。内网的主LDAP 数据自动推送到内网从LDAP，手工导入到外网从LDAP。CA服务器的证 书和CRL列表定期发布到内网主LDAP。 ●在内网部署电子签名中间件，进行双向的签名和验签。 ●手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K，用于私 钥存储。 ●为应用系统的WEB服务器发放服务器证书，实现用户登录时，用户和服 务器的双向验证，确保应用服务器身份和用户身份的真实性。 ●在公网入口部署SSL VPN设备，确保应用服务器是在收保护前提下使用，

所有应用不被外部的病毒、木马、黑客攻击。用户采用USB KEY登录应 用层传输加密机 4、用户收益 采用本方案后用户受益如下： ●通过强身份认证手段的采用，确保用户身份的真实性。 ●通过对表单电子签名，确保数据的不可否认性、不可抵赖性和事后可追溯性。 ●所投资的安全设备，可以为其它业务系统提供安全服务。 北京安软天地科技有限公司 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。

数字证书详解要点

数字证书 一. 什么是数字证书？ 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在互联网上用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。

使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 二. 为什么要使用数字证书？ 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 1、信息的保密性 交易中的商务信息均有保密的要求。如信用卡账号和用户名被人知悉，就可