海南省公共资源交易统一CA互认平台CA签章机构CA认证机构接入规范.docxVIP

CA认证机构接入规范 2.1、范围 本规范描述了平台对需要接入的电子认证服务机构（CA）的总体要求，CA系统功能要求以及接入接口要求等。本规范使用于指导相关电子认证服务机构接入平台，实现系统接入过程标准化及安全控制，保障数字证书在平台中互认互通。 本规范以GM/T 0037-2014《证书认证系统检测规范》和GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》为基础。 2.2、系统接入总体要求 接入到平台中的电子认证服务机构必须符合以下要求： 电子认证服务机构的CA系统建设必须遵循《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》 电子认证服务机构的CA系统应遵循《电子政务电子认证体系建设总体规划》（国密局联字[2007]2号）中关于电子认证体系建设的相关要求，符合《电子政务电子认证服务管理办法》(国密局发[2009]7)相关要求。电子认证服务机构的CA系统必须具有电子认证服务许可证和电子认证服务使用密码许可证 电子认证服务机构的CA系统签发的证书为双证书（签名证书和加密证书），证书格式应遵循《平台数字证书格式规范》，使用的证书介质应符合《平台数字证书介质接口及使用规范》,相关应用接入应符合《平台数字证书应用集成规范》。 电子认证服务机构接入平台，必须满足以下条件： 提供完整的CA业务证书链，CA业务证书链可以是一个或多个；提供的方式可以由CA机构直接以文件方式提交，也可以由CA机构提交CA业务证书链的LDAP或HTTP链接地址。 提供与CA业务证书链相对应的CRL发布服务，且按照发布策略及时发布。CA机构可将CRL发布到LDAP服务器或HTTP服务器上，必须保证CRL发布服务可持续访问。 提供稳定在线的在线证书状态查询服务，该服务必须按照RFC 6960中定义的OCSP协议，提供实时在线查询证书的状态。 2.3、CA系统功能要求 接入到平台的电子认证服务机构的CA系统应该具备如下基本功能： 证书申请/签发。用户可以以在线或离线两种方式向CA机构申请数字证书，在线方式指用户通过互联网登录到CA机构的用户注册管理系统申请证书，离线方式指用户到CA机构指定的注册机构中申请证书。用户数字证书由CA系统的CA证书进行签发。CA机构签发的数字证书格式必须符合《平台数字证书格式规范》。 证书更新。CA系统应提供证书更新功能，更新可分为证书有效期更新和证书可甄别名称更新。CA系统在对证书更新后，须撤销更新之前的数字证书。 证书撤销。CA系统应提供证书撤销功能，证书撤销后，CA系统应实时将该证书加入到证书撤销列表中，并根据CRL发布策略及时将CRL发布到CRL发布服务中。 密钥恢复。CA系统应提供加密证书的密钥恢复功能，以保证用户可使用恢复的加密证书和加密密钥完成对历史密文信息的解密操作。 CRL签发。CA系统应提供CRL签发功能，并根据CRL发布策略及时将CRL发布到CRL发布服务上。CA系统签发的CRL必须符合《平台数字证书格式规范》。 2.4、CA系统接入接口要求 电子认证服务机构的CA系统根据业务需要可调用平台提供的HTTP/HTTPS接口，实现将数字证书注册到平台以及更新平台中数字证书等功能，接口描述如下： 2.4.1、注册用户到平台接口 CA系统调用本接口可根据业务需要将用户证书及其他信息（企业名称、企业证件号码、联系电话）注册到平台中。详细描述如下： 名称 createAccount url http(s):///api/classified/createAccount 请求数据格式 1）请求数据格式为PKCS#7 SignedData类型的签名数据格式 2）PKCS#7中需包含签名证书，签名的原文为UTF8编码的JSON字符串，JSON字符串承载请求参数描述如下： certificate Base64编码的数字证书字符串，签名证书 name 企业名称 idno 企业证件号码 phone 联系电话 签名证书在CA接入平台时，由平台分配或赋予权限 http请求方式 POST 返回结果说明 1）XX返回的数据格式为PKCS#7 SignedData类型的签名数据格式 2）PKCS#7中签名的原文为UTF8编码的JSON字符串，JSON字符串承载请求参数描述如下： ret Ba返回码，0表示成功 msg UTF编码的错误提示信息 签名证书为平台平台证书 2.4.2、更新平台用户的数字证书接口 CA系统调用本接口可根据业务需要更新已经注册到平台的用户数字证书，详细描述如下： 名称 updateCertificate url http(s):///api/classified/updateCertificate 请求数据格式 1）请求数据格式为PKCS#7 SignedData类型的签名数据