数字证书及其认证过程

众所周知，公钥密码学通过使用公钥和私钥这一密钥对，使数字签名和加密通讯等密钥服务变得容易起来。公钥技术之所以能得到广泛的应用，原因就在于对那些使用密钥对中的公钥来获得安全服务的实体，他们能很方便地取得公钥，即密钥分发与管理比起对称密钥的分发与管理变得简单了。所以有人称，非对称密码算法是计算机安全通讯的一次技术革命。

当然，公钥的分发也需要数据完整性保护措施，即需要数据完整性服务来保障公钥不被篡改，并保证公钥一定要有与其声明持有者的身份相对应绑定的机制，最终目的是能提供一种简单安全识别的机制，其一可以使公钥及其相关信息的完整性得到保障；其二可以使公钥及其相关信息以一种可信的方式与其声明所有者绑定在一起。

这就是证书机制，证书在电子商务中是一种权威性的文档，证书的颁发者必须具有可信赖性，它是由权威性、可信任性和公正性的第三方机构所颁发的。证书是一种安全机制，它能保证实现和完成PKI的身份认证、完整性、保密性及不可否认性的安全服务。

证书是一种新的安全机制，一般初期使用者会感到困惑。如一个网上购物者或网上银行客户，或是一个某银行支付网关的管理员，他（她）们经常会想：为什么浏览器/服务器中装入数字证书就会在互联网上变得安全了呢？它们在实际认证中是如何操作的？它是如何保证安全的呢？针对这些常见的问题，本文通过讨论X.509V3版公钥证书的结构和语义、内容和用途以及对证书的哪些项要进行检查和如何进行检查的全部过程等，来说明证书认证的安全性。相信广大读者在了解了证书认证的“游戏规则”以后，对证书机制所能完成的身份识别和鉴别认证的安全服务会有所理解。证书确实是网上交易安全的守护神。

一、有关概念

1.关于CA

CA(Certification Authority)在PKI中称“认证机构”，它为电子商务环境中各个实体颁发电子证书，即对实体的身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性；并负责在交易中检验和管理证书。CA是认证电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构，是电子商务的重要基础设施，是电子商务的安全保证。

2.关于数字证书

数字证书也叫电子证书,或简称证书，在很多场合下,数字证书、电子证书和证书都是X.509公钥证书的同义词，它符合ITU－T X.509 V3标准。证书是随PKI的形成而新发展起来的安全机制，它实现身份的鉴别与识别（认证）、完整性、保密性及不可否认性安全服务（安全需求）；数字证书是电子商务中各实体的网上身份的证明，它证明实体所声明的身份与其公钥的匹配关系，使得实体身份与证书上的公钥相绑定；从公钥管理的机制来讲，数字证书是公钥体制密钥管理的媒介，即在公钥体制中，公钥的分发、传送是靠证书机制来实现的。所以有时也将数字证书称为公钥证书；数字证书是一种权威性的电子文档，它是由具有权威性、可信任性及公正性的第三方机构（CA）所颁发。

二、证书的内容及用途

CFCA所发放的证书均遵循X.509 V3标准，其基本格式及其用途如下：

1.Certificate Format Version

证书版本号,用来指定证书格式用的X.509版本号，用于目录查询。

2.Certificate Serial Number

证书序列号,证书颁发者指定证书唯一序列号, 以标识CA发出的所有证书，用于目录查询。

3.Signature Algorithm Identifier

签名算法标识,用来指定本证书所用的签名算法（如SHA－1、RSA）。

4.Issuer

签发此证书的CA名称,用来指定签发证书的CA的可识别的唯一名称(DN, Distinguished Name)，用于认证。

5.V alidity Period

证书有效期,指定证书起始日期（notBefore）和终止日期（notAfter），用于校验证书的有效性。

6.Subject

用户主体名称,用来指定证书用户的X.500唯一名称(DN)，用于认证。

7.Subject Public Key Information

用户主体公钥信息。

(1)Algorithm Identifier,算法标识。用来标识公钥使用的算法。

(2)Subject Public Key,用户主体公钥。用来标识公钥本身，用于加/解密和数字签名。

8.Issuer Unique ID

颁发者可选唯一标识，很少用。

9.Subject Unique ID

主体证书拥有者唯一标识，很少用。

10.Extensions

证书扩充部分(扩展域)，用来指定额外信息。

(1)Authority Key Identifier,签发者CA的公钥标识。

Key Identifier,公钥标识;

Cert Issuer,证书签发者的甄别名,电子邮件、IP地址等;

Cert Serial Number,签发证书的序列号,用于签发根证书及交叉认证。

(2)Subject Key Identifier,用户主体的公钥标识。证书主体所含密钥的唯一标识，用来区分一个证书拥有者的多对密钥，主要用于对由以前公钥加密过的文件进行解密。

(3)CRL Distribution Point, CRL分布。指明CRL分段的地点，用于分布式存放。

(4)Key Usage,证书中的公钥用途，用来指定公钥用途,数字签名、加密等。

(5)Private Key Usage Period,用户的私钥有效期。用来指定用户签名私钥的起始日期和终止日期。

(6)Certificate Policies,CA承认的证书政策列表。用来指定用户证书所适用的政策, 证书政策可由对象标识符表示，一个详细提示（200字符）。

(7)Policy Mappings,策略映射。表明在两个CA之间一个或多个策略标识的等价映射关系——仅在CA证书里存在。

(8)Subject Alt Name,用户的代用名。用来指定用户的代用名。

(9)Issuer Alt Name,CA的代用名。用来指定CA的代用名。

(10)Basic Constraints,基本制约。用来表明证书用户是最终用户还是CA，用于交易路径。

(11)Subject Directory Attributes,用户主体目录属性。指出证书拥有者的一系列属性。

11.Signature Acgorithm

CA签名算法标识。

12.CA Signature

CA签名。

三、证书的认证过程

以上介绍了证书结构、内容及用途，那么证书是如何相互认证的呢？相互的身份是如何识别的？为什么应用证书机制就是安全的呢？

首先看一下证书的认证过程（也称验证过程）。

1.拆封证书

所谓证书的拆封，是验证发行者CA的公钥能否正确解开客户实体证书中的“发行者的数字签名”。两个证书在交换传递之后，要进行拆封，看是否能够拆封。一个证书或证书链的拆封操作，是为了从中获得一个公钥。可示为X1p?X1<>,这为一个中缀操作，其左操作数为一个认证机构的公钥，右操作数则为该认证机构所颁发的一个证书。如果能正确解开，输出结果为用户的公钥。

从证书内容列表中可以看出，证书结构的最后内容是认证机构CA的数字签名，即一个可信任的CA已经在证书上用自己的私钥做了签名。如果用该CA的公钥就可以拆封一个用户实体的证书，那么，这个签名被验证是正确的。因为它证明了这个证书是由权威的、可信任的认证机构所签发。因此，这个实体证书是真实可信的。

2.证书链的验证

所谓证书链的验证，是想通过证书链追溯到可信赖的CA的根（ROOT）。换句话说，要验证签发用户实体证书的CA是否是权威可信的CA，如CFCA。证书链验证的要求是，路径中每个证书从最终实体到根证书都是有效的，并且每个证书都要正确地对应发行该证书的权威可信任性CA。操作表达式为Ap?A<>B<>,指出该操作使用A的公钥，从B的证书中获得B的公钥Bp，然后再通过Bp来解封C的证书。操作的最终结果得到了C的公钥Cp。这就是一个证书链的认证拆封过程。

(1)证书链的定义。证书链也称认证链，它是最终实体到根证书的一系列证书组成，这个证书链的处理过程是所有根的前辈指向最开始的根证书，即子辈连向父辈。如图1所示。

证书（无论是SET或是Non－SET证书）是通过图1所显示的信任层次来验证的，每个证书都对应于发行该证书的实体的数字签名。如图所示，SET：CCA（MCA、PCA）—B—R；non－SET：CCA（BCA、UCA）—P—R。这样就可用一级一级的公钥解开每级的数字签名，一直上溯到可信任的根CA ROOT。它们是通过直到根CA ROOT的信任层次来验证证书的。

(2)从用户实体证书到ROOT CA的证书链确认，其具体的做法如下页图2所示。

从以上对比中可以看出：用户实体证书中的Authority Key Identifier扩展项Cert Issuer，即证书签发者的甄别名，应当与CA证书中签发此证书的CA名称相匹配，如图中箭头所指。即CA证书中的Subject Name是用户实体证书中Issuer Name的父名，对上级CA来说又成为子名，CA证书中Issuer Name是上一级CA的名字，成为可信任的链状结构。这样通过各级实体证书的验证，逐渐上溯到链的终止点——可信任的根CA，如CFCA。

3．序列号验证

序列号的验证是指检查实体证书中的签名实体序列号是否与签发者证书的序列号相一致，验证证书的真伪。验证操作过程是：用户实体证书中的Authority Key Identifier扩展项Cert Serial Number,即签发证书的序列号，检查CA证书中的Certificate Serial Number 证书序列号，二者应该相一致，否则证书不是可信任的认证机构CA所签发。

4．有效期验证

有效期验证就是检查用户证书使用的日期是否合法，有无过期。具体做法为：

（1）用户实体证书的有效期Validity Period及私钥的有效期Priva Key Usege Period,应当在CA证书的有效日期Validity Period之内。如图2中粗箭头所示，超过CA证书有效期，实体证书应作废，交易是不安全的。

（2）用户实体证书有效期开始时间Validity Period中notBefore日期应在CA证书的私钥有效期Private Key Usagc Period日期之内，否则证书是不安全的。

5．证书作废止列表查询

所谓证书作废止列表查询，是检查用户的证书是否已经作废，并发布在证书吊销列表中。一般称CRL查询，俗称“黑名单查询”。一个实体证书因私钥泄密等原因，需要废止时，应

及时向CA声明作废。CA实时地通过LDAP标准协议向证书库中以X.500的格式进行发布，以供访问时实体间进行开放式查询。

图3中所示为浏览器和Web服务器之间进行的双方认证，即进行双向CRL查询，在Web 服务器查询浏览器证书是否为“黑名单”的同时，浏览器也去证书库查询Web服务器证书是否为有效。此为“双向认证”，CFCA的企业级高级证书即为这种机制，是中国金融CA PKI 的特点。一般B to B模式的网上银行、网上购物皆采取这种方式。当然，也有“单向认证”方式，即Web服务器只去查验浏览器证书的有效性，如SSL证书的认证，这是一般CA 的普遍做法。

6.证书使用策略的认证

证书的使用方式与任何声明的策略Certificate Policy或使用限制相一致，即用户实体证书中的Certificate Policies应为CA所承认的证书政策列表。它是用特殊扩展域来限定的，用来指定用户证书所适用的政策，这些政策应在CA的CPS中有明确规定，对象标识符不超过200个字符。没有CA承认的政策，用户证书是不能执行的。如Policy URL、Policy E－mail 地址，必须由根政策陈述。

7.最终用户实体证书的确认

为了证书的使用安全，CA所签发的认证机构内部管理员的证书要与最终用户实体证书相区分。为此：

(1)在扩展域基本制约Basic Constraints中其默认值表示最终实体（End Entity），以区别其他CA内部管理证书，防止证书用于不同的目的。

(2)在扩展域Key Usage中要对声明的用途有效，用于数字签名或用于传输加密，为确保安全，要明确分开，不能混用，以备争议时审计，为仲裁提供依据。

当然，以上这些操作对用户来说都是透明的。

关于数字证书(双向)的若干想法[ZT]

双向数字认证,需要客户端和服务器均有自己的私钥和公钥(一般为X509证书),

工程服务器为Apache或是Tomcat,客户端一般可发布为Pkcs12包.

SSL工作原理:

SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。当我们与一个网站建立https连接时，我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：

用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。

服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。

客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。客户端浏览器为本次会话生成pre-master secret，并将其用服务器公钥加密后发送给服务器。如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。

如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-master secret，并用它通过某些算法生成本次会话的master secret。

客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL

握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。

客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。

服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。

本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。

几个概念:

1.个人信息交换(PKCS #12)

个人信息交换格式（PFX，也称为PKCS #12）允许证书及相关私钥从一台计算机传输到另一台计算机或可移动媒体。

2.DER 编码和Base64编码

在各类证书,私钥及其参数一般有两种表示,Der为二进制表示格式,Base64不言自明,在应用过程中无甚差别,但是因为Base64的文本性,其很容易在HTTP环境传播.

3.PKCS#10：描述证书请求语法, 证书请求文件一般以csr为扩展名.

4.X509证书封装了公钥.一般意义可以认为证书就是公钥,当然公钥未必是以X509证书形式存在.

5.PKCS7,一般用于证书链.以p7b结尾.

6.CRL, Certificate revocation list.证书失效列表.

7.Openssl提供了CA认证的全面支持,Keytool及JCA,JCE API对应了Java对PKI实现

若干问题.

1.客户端数字证书及私钥的发放方法,

可以客户到柜台,由营业员办理

可以由客户生成自己的CSR文件,提交到网站,由系统自己生成.

由客户在网页上添加自己相关信息,由系统生成,发回客户.

以上三种方法都需要进行确认客户的真实性.都需要开发相应的支持系统.可用Java JCE API,Openssl API或是Openssl Commandline,Keytool实现.

2.数字证书失效问题.

如果发生证书对应密钥丢失,客户可能需要对证书进行调销,这需要建立建立比较完善的CA基础,支持Certificate revocation list,这需要完整的CA解决方案.需要开发相应支持系统.

3.是否所有的客户都必须选用数字证书.

理论上,至少在一段时间的转移过程内,会出现使用和不使用数字证书的客户同时存在,这样需要建立两套不同的系统.还要解决同一入口问题.

4.程序是否还需要用户名和密码的认证.

5.是否支持使用USB Key(这个应该不需要额外的开发工作).

6.项目前台使用Flash管理对后台服务器的连接,经测试能够读取所驻留浏览器的证书(及私钥)信息,成功建立双向SSL连接.

7.纯从安全角度讲,使用由verisign或其它可信的CA机关认证的证书并没有好处,但这样能提高客户对公司的信任度,使公司能明确的向客户确认自己的身份, 从实现角度讲,如果采用自签名CA的话,只是由公司内部CA对客户证书进行签名, 如果是使用经过如verisign签名的证书,那么公司将是二级CA,即证书的信任需要一个证书链,同样也是由公司内的二级CA 对客户证书进行签发.

8.调查实现的步骤,

因为没有正式的证书及密钥,测试过程选用了自签名的证书,另外也没有使用完整的CA基础,没有考虑CRL的问题,即证书注销问题.

KOAL WP-A04-格尔数字证书认证系统(SZT0901-SYT0901)白皮书

格尔数字证书认证系统产品白皮书 上海格尔软件股份有限公司

目录 1、前言 (3) 1.1背景 (3) 1.2名词解释 (4) 2、产品介绍 (6) 2.1产品简介 (6) 2.2产品组成 (7) 2.2.1格尔证书认证系统 (8) 2.2.2格尔用户注册系统 (8) 2.2.3格尔密钥管理系统 (9) 2.3产品系列 (9) 2.3.1企业版 (9) 2.3.2大客户版 (10) 2.3.3运营中心版 (10) 3、产品特性及功能 (11) 3.1基本特性 (11) 3.2高级特性 (11) 3.3兼容与扩展特性 (12) 3.4特别特性 (12) 4、附录 (13) 4.1SZT0901数字证书认证系统证书 (13) 4.2SYT0901密钥管理系统证书 (13) 4.3SRT0903身份认证系统证书 (14) 4.4相关名词解释 (14) 4.5PKI简介 (16)

1、前言 1.1背景 随着网络技术的不断发展，各种网络应用在给企业带来便捷高效的同时，也带来了安全管理和安全通讯的问题。为了解决网络安全问题，近年来，PKI（public key infrastructure）安全体系开始被引入并越来越多地得到应用，其运营管理机构一般又称为CA证书机构。自1998年至今已有多个不同规模的CA证书机构建成并运行，它们在电子政务和电子商务安全应用中发挥着重要的作用。 目前，我国CA证书机构按照应用环境/范围大体可分为以下四类：区域类、行业类、商业类和内部自用（企业）类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子政务业务与电子商务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA证书机构，主要是企业事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。PKI体系概念在安全领域得到的广泛认同，使国内越来越多机构、企业在进行网络安全建设时将PKI应用建设列为重要的基础设施。 上海格尔软件股份有限公司自1998年成立开始即进行了PKI平台产品的研制，深度参与区域、行业、企业的PKI平台建设，积累了丰富的大规模PKI体系建设经验，并推出了对应的PKI基础设施产品及应用产品。格尔数字证书认证系统是PKI体系基础建设的核心组成部分之一，是面向政府、金融、证券、电力、企业、证书运营中心等进行PKI体系建设的专门化电子证书中心产品。随着2009年国家标准密码算法(SM1,SM2,SM3)的发布，格尔软件第一时间发布了适用于国家标准密码算法的格尔证书认证系统产品，并在同一年参加了产品的安审和鉴定，获得相关的资质和证书(SZT0901、SYT0901、SRT0903)，成为全国第一家获得国家标准密码算法支持的公钥基础设施产品提供商。

数字证书详解要点

数字证书 一. 什么是数字证书？ 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在互联网上用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。

使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 二. 为什么要使用数字证书？ 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 1、信息的保密性 交易中的商务信息均有保密的要求。如信用卡账号和用户名被人知悉，就可

数字证书认证服务机构名单

卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法（试行）》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求，经认真复核和测试，现公布通过卫生部复审、测试的数字证书认证服务机构名单，名单如下： 第一批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2010）23号）（中华人民共和国卫生部 2010-11-0414:35:09） 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2011）1号）（中华人民共和国卫生部2011-01-07 08:57:21） 一、新疆数字证书认证中心（有限公司） 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心（有限公司） 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2011〕9号） （中华人民共和国卫生部 2011-05-09 17:55:03）

一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2012〕2号） （中华人民共和国卫生部 2012-03-01 12:28:43） 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司

基于UKey数字证书实现身份认证

基于UKey数字证书实现身份认证 随着电子商务在线交易的流行，一些网上银行也推出了系列措施保证在线交易的安全，有使用软证书的，也有使用UKey硬证书的，这都是数字证书的身份认证的应用。下面我就说下从数字证书生成到身份认证实现的过程。 一、PKI搭建 一套完整的PKI（Public Key Infrastructure公钥基础设施）系统包括了KMC（密钥管理中心）、CA（Certificate Authority）、RA（Register Author注册审批机构），KMC负责密钥管理，CA是核心进行制作证书，RA系统提供证书业务申请审核。数字证书有RSA、ECC等算法的，按证书类型分个人证书、设备证书和机构证书，按用途有加密证书和签名证书。完善的CA系统一般会提供证书申请制作、撤消、冻结、解冻、续费、更新业务功能，还有相应的OCSP（在线证书状态协议）、CRL（证书撤消列表）查询服务等。Windows本身有可以集成CA，可在IIS内提供证书申请制作服务，这样搭建的CA适合较小范围数字证书应用的使用。PKI系统包括如下组成部分。 二、证书激活 向CA发送证书制作申请后，证书制作完成后怎么交付给客户使用呢？有一种方式是软证书，返回pfx标准格式的数字证书，导入到客户系统以供需要时选择使用。软证书是以文件形式保存的，并且可以标记允许再次导出，硬证书则是以UKey移动设备为载体，保存私钥和数字证书。 证书激活是指证书从CA制作出来到交付给客户以供使用的过程，软证书使用比较简单，一般CA在制作出证书会返回pfx标准格式的证书，只需要安装到系统。UKey硬证书则需要将私钥和数字证书导入到设备中，由于涉及到

省食品药品监督局管理平台数字证书办理流程

广东省食品药品监督局管理平台数字证书办理流程 （企业续期） 每个在广东省药监局平台备案过，需要在广东省药监局平台管理业务或者上报数据的单位，都符合申领该应用数字证书的条件。每个单位可以申请一个或者多个数字证书。以下流程对象为：非药店的各类型企业机构。 “续期”指贵单位已经有数字证书，但是希望延长有效期。流程如下： 续期方式分为两种：一、网上续期、二、线下续期（现场办理和快递办理）。流程如下： 一、网上续期 证书需在过期前天内才可进行网上续期申请，如果证书超过有效期，只能快递办理，或者携带相关资料到营业厅前台办理。 网上续期具体操作如下： 双击打开证书网上续期自助手册，按手册指引完成续期。 》》》》》》》 》C A证书网上续期自 助手册 《《《《《《《《 二、线下续期（现场办理和快递办理） 第一步：填写申请表，准备申请需要的资料 ()《广东药监企业数字证书申请表》（见附件，含协议书，一式二份），加盖单位公章； ()生产、经营或执业许可证，或所在药品监督管理机构、相关主管机构颁发的相关证件复印件一份，并加盖单位公章； ()企业法人营业执照（副本）复印件一份，并加盖单位公章； ()企业组织机构代码证(副本)复印件一份，并加盖单位公章（三证合一，则不需提供此项）； ()企业法定代表人身份证复印件一份，并加盖单位公章； ()经办人身份证复印件一份，并加盖单位公章。如现场办理，须提供经办人身份证原件备查。 ()需要续期的数字证书（电子密钥） 第二步：缴费和递交申请资料 根据广东省物价局粤价函［］号文件，数字证书的使用年费为： 如续期个证书年费用：*如续期个证书年费用：** 有两种递交资料的办理方式（选其一）： 第一种：快递办理

数字证书在网络安全中的应用

数字证书在网络安全中的应用 摘要：随着网络技术的飞速发展，网上办公、网上购物、网上炒股、网上娱乐、网上贸易、网上理财以及网上求职等纷纷大行其道，电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了某些敏感或有价值的数据被滥用的风险。如何防范风险，增强网上安全问题显得尤为重要。为了保证互联网上电子交易及支付的安全性，保密性等，防范交易支付过程中的欺诈行为，必须在网上建立一种信任机制。加强网上安全有多种技术措施和手段，下面就通过数字证书的概述，原理，颁发过程以及SSL证书应用来详细说明其是加强网上安全的一种有效方式。 关键词：数字证书概述、原理、颁发过程、SSL应用 1 概述 数字证书，英文名称digital certificate。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。它与我们的生活息息相关，例如我们进行淘宝交易，支付宝进行付款时，电脑就需要安装数字证书来确保我们的资金安全。 CA中心是以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证书，即使用户发送的信息在网上被他人截获，甚至丢失了个人的账户、密码等信息，仍可以保证用户账户、资金安全。它能提供在Internet上进行身份验证的一种权威性电子文档，用户可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。 由于Internet技术的飞速发展,某些敏感或有价值的数据被滥用的风险大大增加。为了保证用户在互联网上电子交易及支付的安全性，保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。 数字证书特点有：安全性为了避免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。目前，为保证电子邮件安全性所使用的方式是数字证书。唯一性：支付宝数字证书根据用户身份给予相应的网络资源访问权限，申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥

实验二 数字证书的申请及安装

实验二数字证书的申请及安装 【实验目的】1. 了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3．掌握数字证书的导入、导出和安装。 【实验环境】Internet、Internet Explorer 【主要内容】1. 通过搜索国内认证机构网站，了解其功能、作用及所提供的业务 2.在“中国协卡认证体系”网站（https://www.360docs.net/doc/9610314133.html,）为自己 申请“个人安全电子邮件证书”。 3.登录广东省电子商务认证中心网站（https://www.360docs.net/doc/9610314133.html,），为 自己申请试用版网证通数字证书。 【操作流程】 图1-9 数字证书的申请及安装流程 【实验导读】 数字证书的原理及作用 数字证书采用PKI（Public Key Infrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。

数字证书的颁发 数字证书是由认证中心（CA机构，Certificate Authority）颁发的。 认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方，一方面为每个使用公开密钥的用户发放一个数字证书，其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥；另一方面承担公钥体系中公钥的合法性检验的责任。 ?数字证书颁发过程 数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 作为个人用户，你既可以为自己申请数字证书，也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种，试用版申请过程在网上即时完成，并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间，一般过程是用户首先在网上填写数字证书申请资料，认证中心在接收到申请请求后，它将对申请人的身份进行审核，当用户的申请请求满足认证中心的所有要求后，认证中心将为其制作证书，然后发送给申请人或者是申请人在网上下载自己的证书。 ?根证书及根证书下载 所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明你对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 ?个人数字证书 数字证书是在Internet上用来证明用户身份的一种方式，它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接（需要客户证书）的站点。

HNCA数字证书RA系统建设方案

HNCA数字证书RA系统建设方案

目录 概述 (3) 第一章为什么要在各地市建RA系统 (4) 一、需求分析 (4) 二、方案可行性 (5) 三、在全省建立RA对信息化建设的意义 (7) 第二章建设什么样的RA系统 (8) 一、RA系统介绍 (8) 二、系统运行环境 (15) 第三章各地市信息办公室怎样建设RA系统 (17) 一、确定需求 (17) 二、签署协议 (17) 三、RA系统建设实施 (17) 四、RA系统测试 (17) 五、RA系统验收 (17) 六、文档评审 (17) 七、系统上线 (18) 第四章RA系统的运营模式 (19) 一、推广方式 (19) 二、运营方式 (20) 附件RA系统管理制度 (21) 概述

为解决Internet的应用安全问题,世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术(Public Key Infrastructure ),PKI(公钥基础设施)技术采用证书管理公钥，通过第三方的可信任机构即CA(Certificate Authority)机构，把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet 网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。 RA (Registration Authority)即数字证书注册审批机构，它是CA机构的重要组成部分，它面向终端用户，接受用户的证书申请信息、审核信息以及制作发放证书，并具有注销用户证书的功能。 河南省数字证书认证中心（简称HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立，在省工业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。 与HNCA合作在全省各地信办建立几家RA机构，作为区域性的认证服务中心，对我省信息化网络信任体系的布局是必要的，可行的，也是非常有意义的。 第一章为什么要在各地市建RA系统 一、需求分析 随着我省电子认证服务业务的发展，数字证书在各个领域的推广应用在不断创新，各地对数字证书的服务要求越来越迫切，所有这些应用都与当地政府的支持密不可分，政府在其中充当了服务的角色。为使政府的服务意识更加深入民心，在信息化网络安全领域方面，建立RA就是为了便于为百姓服务，并对信息化的推广起到保驾护航的作用。 在应用软件系统使用数字证书保障网络安全的体系中，涉及的角色一般有二方。用户方即证书持有者（机构或个人）、管理用户方(发证方)，下面就二方对建立RA的需求进行分析： 1、用户需要在本地制证发证的需求

数字证书认证以及签名实现方案

1. 用户认证实现 用户使用数字证书进行身份认证时，可以使用SSL协议（https即是基于SSL协议之上的http协议）实现、现在主流的浏览器都支持SSL协议，因此采用https协议通讯的BS系统能够方便地使用数字证书做为身份认证方式。除SSL 协议外，还有签名认证的方式实现身份认证，签名认证无标准的实现协议或是流程，神州融信基于PKI/CA接口开发套件设计实现了签名认证的过程。 下面介绍业务系统在不同结构下，所能身份认证的实现技术。 1.1 C S结构： 可以直接通过UTrust签名认证组件实现。 1.2 B S结构: BS结构时，按协议分，可以分为http和https的访问的方式。https是基于SSL协议基础之上的http通讯。使用https时，可以配置WEB服务器要求使用数字证书对客户端进行认证。 ◆使用https协议时 使用https时，无需使用UTrust签名认证组件。服务器端调用windows 的API即可获得用户通过浏览器提交的数字证书的信息，实现对用户身份的认证。 但此种方式需要数字证书安装到浏览器或是数字证书在标准的符合PKCS12的USB KEY中。 ◆使用http协议时 使用http协议时，浏览器不会自动获取用户的数字证书提交给服务器端。此时认证需要使用UTrust签名认证组件实现服务器端的编程。在客户端，使用微软的CAPICOM实现获取浏览器中安装的数字证书。 此种方式时，数字证书安装到浏览器中。如果使用USB KEY，则需要KEY厂家提供读取数字证书的API。 2. 数字签名实现 数字签名应用主要包括签名以及验签两个过程。 数字签名时，使用用户的私钥对需要签名的原始数据进行签名，得到了对原始数据指纹加密后的密文。

数字证书操作手册

数字证书操作手册 ——适用贵州省公共资源交易中心 1、前言 欢迎使用贵州CA数字证书！本手册介绍了如何使用数字证书、如何使用数字证书登录系统、 如何使用电子印章等内容，我们希望通过本使用手册让您尽快熟悉和使用数字证书。 2、安装驱动程序 首次使用数字证书的用户必须先安装数字证书客户端。客户端有两种安装方式： 方式一：自动方式：用户插入USB-Key后，会在系统后台自动下载数字证书客户端的安装包，下载完毕后，自动弹出安装界面，请用户按照界面提示完成安装。 方式二：手工方式：用户访问贵州省公共资源交易中心交易平台（:8888/prt050a/auth/login）或贵州CA网站（）下载数字证书客户端安装包，按照界面提示完成安装。 注意：使用方式二安装数字证书驱动的过程切勿将KEY插在电脑的USB接口。 客户端安装具体步骤： a下载驱动，点击运行,开始安装客户端

b 点击安装，客户端自动安装，直至完成 3、修改证书密码 为保证证书的安全性，用户首次使用数字证书前，建议先修改证书密码。 a 成功安装客户端后，在电脑右下角会显示证书管理器图标 b双击运行客户端，点击修改证书PIN码，

c 按提示修改密码即可。 4、使用数字证书登录贵州省公共资源交易中心交易平台。 a、登录贵州省公共资源交易中心网站（）首页，点击“交易平台”。

b、选择“CA登录”，选择证书后点击“确定”再输入证书密码(办理证书后得到的机密函件内)，即可 成功登录。 ★注意★原注册账号、密码在开通数字证书后即失效，无需输入，直接点击CA登录按钮。 5、IE浏览器设置（点击CA登录不能正常进入交易平台的客户才需设置） a 在“工具栏”里面找到“Internet选项”，点击“安全”里的“受信任的站点”，再点击“站点”， 把“将该网站添加到区域”。并把“对该区域中的所有站点要求服务器验证”前面的勾去掉。

数字证书安全认证解决方案

数字证书安全认证 解决解决方案方案 广东省数字证书认证中心 2008年

目 录 1 概述............................................................................................................3 2 需求............................................................................................................ 3 3 系统架构....................................................................................................5 4 主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7) 5 设备配置清单 (8)

数字证书管理使用规程

数字证书管理使用规程 一、总则 (一)为进一步规范“全国卫生监督信息系统”数字证书的使用，规范数字证书的管理，制定本规程。 (二)本规程所称数字证书，是指在“全国卫生监督信息系统”中使用的数字证书,主要是颁发给个人的数字证书，个人数字证书用于认证各级卫生监督工作人员的身份。 (三)本规程所称数字证书服务，主要包括：数字证书的申请、更新、撤销、解锁，以及数字证书的应用支持等。 二、数字证书的申请 (一)申请数字证书，由各单位统一收集证书申请者的信息。证书办理单位对证书申请人信息的真实性、完整性和准确性负责。 (二)办理数字证书的业务流程如下： 1.证书办理单位填写《信天行数字证书业务申请表》（附件1）。表中带*号为必填项，选择信天行数字证书（个人版），证书初次申请业务类型，加盖单位公章。 2.证书办理单位负责核实个人的姓名、身份证号码等身份信息，将个人申请信息填入《信天行数字证书业务申请明细表》（附件2），并加盖单位公章。 3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字

证书业务申请明细表》给卫生部卫生监督中心信息处。 4. 卫生部卫生监督中心信息处将信息提交给证书制作单位，统一制作证书，并发放给最终用户。 三、数字证书的更新 (一)数字证书有效期为一年。有效期满前一个月内，卫生部卫生监督中心信息处将通知各单位组织办理证书更新业务。证书更新方式为网上自主更新。 (二)办理证书网上自主更新的业务流程如下： 1.证书办理单位填写《信天行数字证书业务申请表》（附件1）。表中带*号为必填项，选择信天行数字证书（个人版），证书更新业务类型，加盖单位公章。 2.证书办理将需要更新证书的用户信息填入《信天行数字证书业务申请明细表》（附件2），并加盖单位公章。 3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。 4.卫生部卫生监督中心信息处经过审核及授权后，证书用户访问证书更新网址，使用原有证书登录并输入证书密码，按照提示完成证书更新。 5.用户在线更新步骤 1)证书更新网址： https://https://www.360docs.net/doc/9610314133.html,/userweb/download/down_update.as px

数字证书介绍

数字证书介绍 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。 数字证书又称为数字标识（Digital Certificate，Digital Identity），标识某一主体（个人、单位、服务器、智能终端等）的身份信息。信息系统的用户或设备需要使用数字证书来表明自己的身份，并用其进行信息加密、电子签名等相关操作。通俗地讲，数字证书就是个人、单位或相关设备的电子身份证。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。 1.1数字证书的特点 ●安全性 （1）为了避免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。 （2）第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。 （3）支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。目前保证电子邮件安全性所使用的方式是数字证书。 ●唯一性 （1）支付宝数字证书根据用户身份给予相应的网络资源访问权限 （2）申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有

OA系统CA数字证书认证和电子签名解决方案

某市OA系统（内外网）基于CA的身份认证和电子签名解决方案 1、用户背景 内蒙古某市下属2区、5县、4旗，人口300余万，该市交通发达，是内蒙连接东北的交通枢纽。 2、用户需求 通过与沟通，总结最终用户需求如下： ●BS架构的OA系统，采用Domino Notes开发的，用到金格的word控件， 主要是做痕迹保留用的，和系统登录无关。需要保证登录者身份的真实 性。 ●对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵 赖性，同时要考虑一个表单，多个领导会签的情况。 ●通过运营商组的专网，在网络出口已经部署防火墙。 3、解决方案 据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。 具体设计方案如下： ●在内网建设CA服务器。 ●密钥生成和管理由证书服务器密码机负责。 ●采用一主两从LDAP，内网部署一主一从，外网部署一从。内网的主LDAP 数据自动推送到内网从LDAP，手工导入到外网从LDAP。CA服务器的证 书和CRL列表定期发布到内网主LDAP。 ●在内网部署电子签名中间件，进行双向的签名和验签。 ●手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K，用于私 钥存储。 ●为应用系统的WEB服务器发放服务器证书，实现用户登录时，用户和服 务器的双向验证，确保应用服务器身份和用户身份的真实性。 ●在公网入口部署SSL VPN设备，确保应用服务器是在收保护前提下使用，

所有应用不被外部的病毒、木马、黑客攻击。用户采用USB KEY登录应 用层传输加密机 4、用户收益 采用本方案后用户受益如下： ●通过强身份认证手段的采用，确保用户身份的真实性。 ●通过对表单电子签名，确保数据的不可否认性、不可抵赖性和事后可追溯性。 ●所投资的安全设备，可以为其它业务系统提供安全服务。 北京安软天地科技有限公司 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。

如何使用数字证书word版

如何使用数字证书 （说明：本手册仅对数字证书的安装以及广交会网络管理系统相应应该设置的操作进行说明，在系统正式启用数字证书前，所有操作方法与原来的相同。本手册上的系统操作说明只有在启用数字证书后才适用） 第一部分：系统登陆 一、安装数字证书 电子密钥是一外形象U盘的安全存储体，内含数字证书，通过数字证书保证使用者操作的合法、有效。 电子密钥需要驱动程序，其驱动程序的安装过程如普通硬件。 安装驱动程序方法： ①把证书驱动程序光盘放进光驱里，光盘会自动播放，在弹出的窗口 点击安装电子密钥驱动； ②按照屏幕提示进行安装； ③“电子密钥PKXC用户版”已经安装完毕，在任务栏上会新增一个小图标如下： 如果此工具没有启动，请点击“开始”->“程序”->“电子密钥用户版”->“数字证书查验工具”，启动此工具。 插入电子密钥（以winXP为例） 1、将电子密钥插进USB接口，任务栏会显示： 2、等待片刻，会出现如下窗口：

3、在以上的窗口选择默认的选项“自动安装软件（推荐）”，点击下一步，等待片刻，系统自动安装； 4、点击完成，新硬件安装成功 。 检验安装是否成功 1、确认电子密钥插好后，打开浏览器（IE），菜单中选择“工具”——>“Internet选项”； 2、在出现的窗口上选择“内容”的页面，点击“证书”项，可以查看到自己的证书。 (当Windows系统存在的证书数量不止一个时，在使用备案网站的备案表输入和证件申请过程

中，提交操作时会弹出窗口要求你选取要签名的证书。为了使操作方便，建议把不起作用的证书删除，使Windows系统只保留本中心下发的证书，比如上图的Administrator证书是Windows自带的，可以选择它删除，如下图，点击“是”完成删除) 密码更改 1、插入电子密钥 2、双击任务栏上电子密钥的图标： 3、选择管理工具的“修改密码”按钮，进行密码修改（原密码是12345678）。 Internet设置(此项设置必设) 如果第一次进入备案系统网站（https://www.360docs.net/doc/9610314133.html,）出现以下提示或无法正常登陆系统，或者在网页浏览过程中防毒软件有提示ActiveX 控件没启用或者拦截了，则需要把防毒软件暂时停掉，另外可能需要进行以下几

数字证书应用常见问题解答

HNCA数字证书应用常见问题解答 一、计算机软硬件常见问题 1. 如果我要进行互联网报税需要具备什么条件？ 解答：需要具备以下条件： （1）用于报税的计算机需连接互联网； （2）计算机环境要求是：操作系统为中文版Windows 98/me/2000/XP/7，浏览器为Internet Explorer(IE)6.0或以上版本及密钥长度为128位； （3）已从HNCA获得了代表企业真实身份的数字证书； （4）计算机安装USB接口 （5）已成功安装了数字证书及互联网报税等软件。 2. 我的计算机中了病毒怎么办？ 解答：如您的计算机已安装杀毒软件，请立即查杀病毒，若未安装请至其它相关网站下载杀毒软件。如：商都信息港：https://www.360docs.net/doc/9610314133.html, 。 3. 如果我的计算机没有USB接口怎么办？ 解答：请联系电脑零件供应商购买USB接口或购买PCI转USB接口并安装至您的计算机上，也可购买新的计算机。 4. 我的计算机无法安装软件怎么办？ 解答：可能是您的计算机安装了优化软件或中了病毒，请先查看是否安装了优化软件，若安装了请查看其设置，将程序项改为可写入文件；若未安装优化软件，请查杀计算机病毒。 二、电子智能钥匙相关问题解答 1. 为什么要选用电子智能钥匙存储数字证书? 解答：数字证书的存储介质主要有磁盘、IC卡及电子智能钥匙等形式。其中电子智能钥匙具有小巧美观，携带方便，支持即插即用；不易损坏，物理安全性强；内置微处理器进行加解密和签名、验证操作，密钥被加密保存且不导入内存，信息安全性高等优点，已逐渐成为数字证书存储的首选设备。 虽然有些用户希望使用磁盘或IC卡作为证书存储介质，但磁盘携带不便，极易损坏或

湖南省数字认证服务中心有限公司数字证书使用手册

湖南省数字认证服务中心有限公司数字证书使用手册 一、数字证书的安装 、安装前请先关闭或卸载“防火墙”、“上网助手”等程序及、等文档； 、运行与证书一起发放的安装光盘里面的“”或运行从网上（湖南）下载的“数字证书安装光盘”（双击“”文件即可），按照默认安装下一步进行完成安装； 、安装成功后电脑右下角任务栏会有企业数字证书程序运行标志（如图）： 二、客户端工具使用 、口令修改：插入至计算机的接口，双击桌面的“湖南数字证书认证中心用户工具”或点击“开始”>“所有程序”>“湖南省数字证书认证中心”>“客户端工具”>“用户工具”，选择修改口令，即可修改口令。如果选择查看证书，可以看到有两张证书，一张为身份验证证书，一张为签名证书。 、设备信息查看与保存：点击设备信息按钮，如果正常的话，可以看到设备的序号，容量，系统的基本信息等，并且会提示用户是否需要保存，如果需要保存则会提示保存的位置。如果没有显示设备信息，说明设备可能损坏。

、手工下载列表：点击服务按钮，进入服务的配置和客户端列表的下载，列表主要是为了进行证书有效性验证，所以第一次使用的时候，请一定要先进行列表的手工下载，在下载前先保证能够上网浏览网页，界面如下： 三、证书应用 登陆 首先插入，进入应用系统登录界面，系统会提示输入密码，密码如果修改过，则用修改后的密码，如果没有修改过，则用初始密码””，如下图：

四、常见问题及解决办法 问题：加密设备故障 解决办法：重新安装驱动程序。 判断驱动程序安装是否成功的办法：绿灯亮秒钟，然后灭掉即正常。 如果安装不成功，可以将驱动光盘和同时连接在电脑上，右键单击“我的电脑”—左键点击“属性”—“硬件”—“设备管理器”—其他设备里左键双击(黄色小问号)—点击“重新安装驱动程序”—“下一步”至出现“完成”即可 尝试电脑的其它接口 问题：“验证失败” 解决办法： 判断是否被锁，点击“开始”>“所有程序”>“湖南省数字证书认证中心”>“客户端工具”>“用户工具”选择“修改密码”，输入原始密码“”（或用户修改后的口令），如果提示验证失败，请及时与湖南省数字认证服务中心有限公司联系。 问题：无法进入系统或者证件办理无法保存 解决办法： 如果没有提示输入密码，说明没有插入电脑，请先插入电脑，然后在重新登陆系统或者重新操作。请在使用过程中，一定不要拔出。 五、联系方式 湖南省数字认证服务中心有限公司 咨询电话：－，传真：网址： 地址：长沙市芙蓉区五一大道号综合信息楼楼（乔庄五一大道路口） 邮编：

数字证书认证服务责任书

数字证书认证服务 责任书 尊敬的用户： 为了提高公共资源交易电子化的安全性和时效性，江苏翔晟信息技术股份有限公司（以下简称本公司）向您提供认证服务，根据《中华人民共和国招标投标法》、《中华人民共和国电子招投标法》《中华人民共和国电子签名法》以及【甘发改收费〔2017〕573号】文件关于“用户申请办理电子认证数字证书，遵循自愿有偿、公平合理的原则在认证服务合同中约定相关收费”的精神，特制定本认证服务协议。 一、认证内容 您向本公司申请办理的电子认证数字证书用于标识机构在陇南市电子（网络）招投标过程中的机构身份，电子招投标系统可以根据该功能对其用途进行定义，并使用于授权和合法目的。 二、认证费用标准 电子印章100元人民币/枚；数字证书开户费50元人民币/户，数字证书服务费130元人民币/份/年；存储介质（UKEY）收费90元人民币/个（无限期使用）。 三、特别声明 （一）用户在本公司各受理点办理电子认证数字证书时，应遵照各办理点的办理流程； （二）用户在提供资料时，故意或过失提供不真实资料，签发证书错误，造成损失由用户承担； （三）用户应妥善保存数字证书及登录密码，不得泄露或交付他人，如因故意、过失导致他人知道或盗用、冒用、伪造或者篡改造成一切损失由用户承担； （四）发生（三）的情况或者用户不希望继续使用数字证书时，应当立即到受理点申请注销数字证书，废除手续遵守受理点的规定，本公司在接到废除申请后，在24小时内注销用户数字证书，用户应当自行承担一切责任； （五）用户如果需要改数字证书、密码时，应办理更新手续，更新手续遵循受理点的规定，更新生效前，原数字证书发生的一切责任任由用户自行承担； （六）如果用户死亡或者机构解散时，法定代表人或授权代表应携带相关证明请求注销用户数字证书，用户承担其数字证书在注销前产生的一切行为。 （七）根据《电子签名法》针对数字证书的要求，电子签名制作数据用于电子签名时，属于电子签名人专有，即一个数字证书对应一个电子签章。原则上单位的公章和法人的手写签名或印章要分开办理。如果用户自愿将法人的手写签名

2卫生系统数字证书应用集成规范

卫生系统电子认证服务体系系列规范 -卫生系统数字证书应用集成规范（试行） 卫生部办公厅 2010年4月30日

1 范围 (1) 2 应用集成目标 (1) 3 应用集成要求 (1) 4 应用集成内容 (1) 5 统一证书应用接口规范 (2) 5.1 统一证书应用接口概述 (2) 5.2 证书应用综合服务接口概述 (2) 5.3 证书应用综合服务接口客户端接口函数定义 (4) 5.4 证书应用综合服务接口服务器端COM组件函数定义 (9) 5.5 证书应用综合服务接口服务器端JA V A组件函数定义 (17) 5.6 证书应用综合服务接口相关代码表 (26) 附录A (资料性附录) 证书应用接口实施示例 (32) 附录B (资料性附录) 名词解释 (35)

1 范围 本规范依据《卫生系统电子认证服务管理办法（试行）》，参照国家密码管理局“公钥密码基础设施应用技术体系”系列技术规范，结合卫生系统业务特点，提出卫生系统数字证书应用集成目标、集成要求、集成内容，定义统一的证书应用接口，并提供证书应用接口的典型部署示例、登录认证流程示例和签名验证流程示例。 本规范用于指导并规范卫生信息系统证书应用集成实施工作，指导电子认证服务机构开发标准统一的证书应用接口，规范卫生信息系统实现基于数字证书的安全登录、数字签名和加密解密等安全功能。 2 应用集成目标 1)在目前卫生信息系统普遍使用的用户名/口令认证方式基础上，引入数字证书技术，建立基于 数字证书的身份认证机制，确保系统访问控制的高安全性和高可靠性； 2)对卫生信息系统的重要操作环节和重要数据实现基于数字证书的数字签名功能，保护数据的完 整性，并为后期纠纷处理及责任认定提供合法电子证据； 3)对卫生信息系统的敏感信息实现基于数字证书的数据加密功能，确保敏感信息在传输和存储阶 段的安全性。 3 应用集成要求 在证书应用集成时，应根据卫生系统各应用单位的业务特点和业务需求，确定需要改造的业务系统数量及名称、确定需要使用证书认证的用户及范围、确定需要加密签名的重要操作环节和数据，具体集成要求如下： 1)卫生信息系统在集成数字证书的安全功能时，首先应实现基于数字证书的身份认证功能； 2)对于具有操作行为责任认定、证据保存需求的卫生信息系统，应实现基于数字证书的数字签名 的功能； 3)对于具有数据加密和解密需求的卫生信息系统，应实现基于数字证书的信息加密、信息解密功 能； 4)对于具有可信时间需求的卫生信息系统，应集成时间戳功能； 5)对于具有信息共享需求的多个应用系统，可采用统一的身份认证模式，实现统一的身份认证管 理、用户信息共享和单点登录等功能。 4 应用集成内容 卫生信息系统证书应用集成内容如下： 1)基于数字证书的身份认证 证书登录认证过程中，应完成以下安全认证工作： a)证书保护口令校验； b)每次登录认证是基于随机数的签名和验证，防止重放攻击； c)验证用户证书的信任链； d)验证用户证书有效期； e)基于最新的黑名单文件，验证用户证书是否被吊销； f)验证证书信息是否在信息系统具有对应的用户账户及操作权限。 在证书应用集成时，同时应实现用户安装和使用的方便性，如证书介质的即插即用功能。 2)数字签名和验证 卫生信息系统中关键业务数据和操作的数字签名，应满足《电子签名法》以及其他相关政策法规规定的书面形式、原件形式及文件保存等要求，至少应包括数据原文、电子签名、可信时间等内容，并可在需要时查询、阅读、下载、验证，具备作为电子证据的真实性、可靠性和可验证性。