卫生系统数字证书服务管理平台接入规范.docVIP

 目 录 1 范围 1 2 系统接入总体要求 1 3 CA系统功能要求 1 4 CA系统接入接口要求 2 4.1 证书信息同步接口 2 4.2 黑名单信息同步接口 5 4.3 查询证书信息接口 8 附录 (资料性附录) 名词解释 11 范围 根据《卫生系统电子认证服务管理办法（试行）》相关要求，电子认证服务机构在开展服务前须接入卫生部数字证书服务管理系统。本规范描述了电子认证服务机构的CA系统（简称CA系统）接入卫生部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接入接口要求等。 本规范用于指导相关电子认证服务机构将CA系统接入卫生部数字证书服务管理系统，实现系统接入过程标准化及安全控制，实现数字证书服务的统一管理。 系统接入总体要求 根据《卫生系统电子认证服务管理办法（试行）》的规定，卫生部将建设集中的数字证书服务管理系统，用于卫生系统内所有证书用户信息的收集、查询、统计和分析，以及进行用户意见收集、服务质量监督等管理工作。 卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。拟为卫生系统领域提供服务的电子认证服务机构，须符合《卫生系统电子认证服务管理办法（试行）》的相关要求，将CA系统接入到卫生部数字证书服务管理系统。 接入卫生部数字证书服务管理系统的电子认证服务机构应符合以下要求： 电子认证服务机构的CA系统应符合《证书认证系统密码及其相关安全技术规范》。 电子认证服务机构的CA系统应遵循《电子政务电子认证体系建设总体规划》（国密局联字[2007]2号）中关于电子认证体系建设的相关要求，符合《电子政务电子认证服务管理办法》(国密局发[2009]7)相关要求。 电子认证服务机构的CA系统签发的证书应遵循《卫生系统数字证书格式规范》，使用的证书介质应符合《卫生系统数字证书介质技术规范》，开展证书应用集成工作时应遵循《卫生系统数字证书应用集成规范》。 电子认证服务机构的CA系统的功能应符合本文第3章要求。 电子认证服务机构的CA系统应遵循本文第4章的接口要求，将CA系统中的数字证书和黑名单及时同步到卫生部数字证书服务管理系统。 CA系统功能要求 电子认证服务机构的CA系统须具备如下基本功能： 证书申请： CA系统签发的证书类型应包括：内部机构证书、内部工作人员证书、内部设备证书、外部机构证书、外部个人证书和外部设备证书。以上各类证书格式须符合《卫生系统数字证书格式规范》的要求。对内部用户提供服务时，为提高证书办理效率，CA系统应提供批量录入和批量审核的功能。 证书更新： CA系统应提供证书更新功能。证书更新后，新证书的有效期须延长，密钥须更换，证书的实体唯一标识须保持不变。 证书解锁： 证书保护口令连续10次输入错误，证书介质须自动锁死。CA系统应提供证书解锁功能，用户可重新设置新的证书保护口令。 证书吊销： CA系统应提供证书吊销功能。证书吊销后，CA系统应实时签发黑名单，并将黑名单发布给相关的卫生信息系统和卫生部数字证书服务管理系统。 密钥恢复： CA系统应提供加密密钥和加密证书的恢复功能。密钥恢复后，用户可恢复原有的加密证书和加密密钥，证书和密钥的存储格式应与原有证书一致，保障用户的历史密文信息可以完成解密操作。 证书信息发布： CA系统应提供将数字证书申请、更新和吊销等相关信息同步到卫生部数字证书服务管理系统的功能。数据同步时，CA系统应遵循和调用证书服务管理系统的证书信息同步接口（详见4.1节）。 CA系统应提供证书信息发布功能，外部证书用户的发布按照批准的电子认证业务规则（CPS）规定的策略执行，内部用户证书在对外发布前应经用户管理单位审定。 CA系统接入接口要求 电子认证服务机构的CA系统调用数字证书服务管理系统提供的数据同步接口，实现与卫生部数字证书服务管理系统之间数字证书和黑名单的信息同步等，接口的函数原型及功能描述请参照以下章节描述。 证书信息同步接口 函数原型：public string[] CertRequestInfoSyn(CUserInfo userinfo, string strSignValue)。 功能描述：CA系统调用该接口，将证书数据同步到卫生部数字证书服务管理系统。 输入参数：CUserInfo：需要同步的证书数据，详见表1说明。 strSignValue：使用CA系统的服务器证书对CUserInfo域的数据组合进行的数字签名，数据原文采用XML数据标准格式，签名算法采用1RSA，数字签名的数据格式为BASE64编码格式。UserId 用户实体唯一标识 N VARCHAR2(128) CA系统中的用户ID号，即证书实体唯一标识 CommonName 证书主体 N VARCHAR2(256) 用户姓名或单位名