5卫生系统数字证书服务管理平台接入规范

5卫⽣系统数字证书服务管理平台接⼊规范
卫⽣系统电⼦认证服务体系系列规范
-卫⽣系统数字证书服务管理平台接⼊规范
（试⾏）
卫⽣部办公厅
2010年4⽉30⽇
⽬录
1 范围 (1)
2 系统接⼊总体要求 (1)
3 CA系统功能要求 (1)
4 CA系统接⼊接⼝要求 (2)
4.1 证书信息同步接⼝ (2)
4.2 ⿊名单信息同步接⼝ (4)
4.3 查询证书信息接⼝ (8)
5 WSDL⽂件 (11)
5.1 WSDL原⽂ (11)
附录(资料性附录) 名词解释 (18)
1 范围
根据《卫⽣系统电⼦认证服务管理办法（试⾏）》相关要求，电⼦认证服务机构在开展服务前须接⼊卫⽣部数字证书服务管理系统。

本规范描述了电⼦认证服务机构的CA系统（简称CA系统）接⼊卫⽣部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接⼊接⼝要求等。

本规范⽤于指导相关电⼦认证服务机构将CA系统接⼊卫⽣部数字证书服务管理系统，实现系统接⼊过程标准化及安全控制，实现数字证书服务的统⼀管理。

2 系统接⼊总体要求
根据《卫⽣系统电⼦认证服务管理办法（试⾏）》的规定，卫⽣部将建设集中的数字证书服务管理系统，⽤于卫⽣系统内所有证书⽤户信息的收集、查询、统计和分析，以及进⾏⽤户意见收集、服务质量监督等管理⼯作。

卫⽣部通过数字证书服务管理系统对在卫⽣系统领域开展电⼦认证服务的CA机构实⾏接⼊控制及服务管理。

拟为卫⽣系统领域提供服务的电⼦认证服务机构，须符合《卫⽣系统电⼦认证服务管理办法（试⾏）》的相关要求，将CA系统接⼊到卫⽣部数字证书服务管理系统。

接⼊卫⽣部数字证书服务管理系统的电⼦认证服务机构应符合以下要求：
1)电⼦认证服务机构的CA系统应符合《证书认证系统密码及其相关安全技术规范》。

2)电⼦认证服务机构的CA系统应遵循《电⼦政务电⼦认证体系建设总体规划》（国密局联字
[2007]2号）中关于电⼦认证体系建设的相关要求，符合《电⼦政务电⼦认证服务管理办法》
(国密局发[2009]7)相关要求。

3)电⼦认证服务机构的CA系统签发的证书应遵循《卫⽣系统数字证书格式规范》，使⽤的证书介
质应符合《卫⽣系统数字证书介质技术规范》，开展证书应⽤集成⼯作时应遵循《卫⽣系统数
字证书应⽤集成规范》。

4)电⼦认证服务机构的CA系统的功能应符合本⽂第3章要求。

5)电⼦认证服务机构的CA系统应遵循本⽂第4章的接⼝要求，将CA系统中的数字证书和⿊名单及
时同步到卫⽣部数字证书服务管理系统。

3 CA系统功能要求
电⼦认证服务机构的CA系统须具备如下基本功能：
1)证书申请：
CA系统签发的证书类型应包括：内部机构证书、内部⼯作⼈员证书、内部设备证书、外部机构证书、外部个⼈证书和外部设备证书。

以上各类证书格式须符合《卫⽣系统数字证书格式规范》的要求。

对内部⽤户提供服务时，为提⾼证书办理效
率，CA系统应提供批量录⼊和批量审核的功能。

2)证书更新：
CA系统应提供证书更新功能。

证书更新后，新证书的有效期须延长，密钥须更换，证书的实体唯⼀标识须保持不变。

3)证书解锁：
证书保护⼝令连续10次输⼊错误，证书介质须⾃动锁死。

CA系统应提供证书解锁功能，⽤户可重新设置新的证书保护⼝令。

4)证书吊销：
CA系统应提供证书吊销功能。

证书吊销后，CA系统应实时签发⿊名单，并将⿊名单发布给相关的卫⽣信息系统和卫⽣部数字证书服务管理系统。

5)密钥恢复：
CA系统应提供加密密钥和加密证书的恢复功能。

密钥恢复后，⽤户可恢复原有的加密证书和
1
加密密钥，证书和密钥的存储格式应与原有证书⼀致，保障⽤户的历史密⽂信息可以完成解密操作。

6)证书信息发布：
CA系统应提供将数字证书申请、更新和吊销等相关信息同步到卫⽣部数字证书服务管理系统的功能。

数据同步时，CA系统应遵循和调⽤证书服务管理系统的证书信息同步接⼝（详见4.1节）。

CA系统应提供证书信息发布功能，外部证书⽤户的发布按照批准的电⼦认证业务规则（CPS）规定的策略执⾏，内部⽤户证书在对外发布前应经⽤户管理单位审定。

4 CA系统接⼊接⼝要求
电⼦认证服务机构的CA系统调⽤数字证书服务管理系统提供的数据同步接⼝，实现与卫⽣部数字证书服务管理系统之间数字证书和⿊名单的信息同步等，接⼝的函数原型及功能描述请参照以下章节描述。

4.1 证书信息同步接⼝
函数原型：public string[] CertRequestInfoSyn(CUserInfo userinfo, string strSignValue)。

功能描述：CA系统调⽤该接⼝，将证书数据同步到卫⽣部数字证书服务管理系统。

输⼊参数：CUserInfo：需要同步的证书数据，详见表1说明。

strSignValue：使⽤CA系统的服务器证书对CUserInfo域的数据组合进⾏的数字签名，数据原⽂采⽤XML数据标准格式，⽰例代码CreateXML.java见附录。

签名算法采⽤sha1RSA，数字签名的数据格式为BASE64编码格式。

返回值：详见表2说明。

表 1 CUserInfo证书信息表
序号属性属性名称是否
为空
数据类型备注
1.TradeType 业务类型ＮString 1：证书⾸次发放
2：证书更新
3：证书吊销
2.CaInfo CA⾝份标识ＮString CA⾝份标识，CA机构的营业许可证后4位数字
3.CertType 证书类型ＮString ⼯作⼈员证书：G；
内部机构证书：U；
内部设备证书：S
外部个⼈证书：P
外部机构证书：J
外部设备证书：W
/doc/2214254591.html
erId ⽤户实体唯⼀标
识ＮString CA系统中的⽤户ID号，即
证书实体唯⼀标识
/doc/2214254591.html
monName 证书主体ＮString ⽤户姓名或单位名称，该内
容为签发的证书主题名称
6.PaperType 证件类型ＮString 组织机构代码：JJ
⼯商营业执照：GS
税务登记证：SW
⾝份证：SF
军官证：JG
护照：HZ
回乡证：HX
2
其他：QT
7.PaperID 证件号码ＮString 个⼈证书和⼯作⼈员证书填
⾝份证号码、军官证、护照
或其他；
机构证书和设备证书填组织
机构代码、⼯商营业执照、
税务登记证或其他。

8.ProvinceName 省份名称ＮString 省份名称必须有
9.LocalityName 城市名称ＮString 城市名称必须有
10.UnitName 单位名称ＮString 单位名称必须有
11.DepartmentName 部门名称ＮString 部门名称
12.PostalAddress 邮政地址Y String 邮政地址
13.PostalCode 邮政编码Y String 应为6位数字
14.AgentMan 联系⼈Y String 联系⼈
15.TelephoneNumber ⽤户电话号码Y String 单位证书时，应为单位的固定电话
16.Fax ⽤户传真号码Y String ⽤户传真号码
17.E_mail ⽤户电⼦邮件Y String 可选项，单位证书时，与经
办⼈信息⼀致。

18.MobileTelephone ⽤户⼿机号码Y String 可选项，单位证书时，与经办⼈信息⼀致。

19.EncCertData 加密证书Y String ⽤户证书，BASE64编码（加
密证书和签名证书不能同时
为空！）
20.SignCertData 签名证书Y String ⽤户证书，BASE64编码（加
密证书和签名证书不能同时
为空！）
21.TransName 经办⼈姓名Y String 单位证书时，⾮空
22.TransTel 经办⼈电话Y String 单位证书时，⾮空
23.TransEmail 经办⼈电⼦邮件Y String 单位证书时，⾮空
24.TransMobile 经办⼈⼿机号码Y String 单位证书时，⾮空
25.TransPertype 经办⼈证件类型Y String ⾝份证：SF
军官证：JG
护照：HZ
回乡证：HX
其他：QT
26.TransPaperID 经办⼈证件号码Y String 填⾝份证号码、军官证、护照或其他证件号码
27.TradeTime CA系统提交数据
时间N String CA系统提交时间，格式
如:20071120133456
表 2 证书同步接⼝返回值说明表
3
序号属性属性名称是否
数据类型
1.ErrorCode 返回代码Ｎ0：成功，其他值：失败（值为错误号）
EC301：验证数据签名失败
EC302：检查⽤户录⼊数据完整性错误
EC303：该⽤户发放数据已经同步成功
EC520：保存数据出现异常
2.Time 业务系统交易时
间
N 返回给CA系统,格式如：20071120133456
3.strRetSignValue 签名值N 接收端对返回代码ErrorCode和时间
Time的数据组合进⾏的数字签名。

签名
原⽂的数据格式是：ErrorCode +“，”+
Time
证书信息同步接⼝XML格式定义如下：
注：下⽂中的所有“CAURL”代表电⼦认证服务机构的服务⽹站URL，如/doc/2214254591.html 。

xmlns:soapenc="/doc/2214254591.html
/soap/encoding/" xmlns:tns="CAURL" xmlns:types="CAURLencodedTypes"
xmlns:soap="/doc/2214254591.html
/soap/envelope/">
string
string
string
xmlns:types="/doc/2214254591.html
">
string
string
string
string
string
string
string
string
string
string
4
string
string
string
string
string
string
string
string
string
string
string
string
string
string
string
string
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
xmlns:soapenc="/doc/2214254591.html
/soap/encoding/" xmlns:tns="CAURL" xmlns:types="CAURLencodedTypes"
xmlns:soap="/doc/2214254591.html
/soap/envelope/">
string
string
string
4.2 ⿊名单信息同步接⼝
函数原型：public string[] CrlInfoSyn(CCrlInfo crlrinfo, string strSignValue)
功能描述：CA系统调⽤该接⼝，将⿊名单数据同步到卫⽣部数字证书服务管理系统。

输⼊参数：CCrlInfo：⿊名单数据，具体内容见表3说明；
5
strSignValue：使⽤CA系统服务器证书对CCrlInfo域的数据进⾏的数字签名，数据原⽂采⽤XML数据标准，⽰例代码CreateXML.java见附录。

签名算法采⽤sha1RSA，数字签名的数据格式为BASE64编码格式。

返回值：见表4说明。

表3 ⿊名单信息表
序号属性属性名称是否
数据类型备注
1.CaName CA⾝份标识N String电⼦认证服务机构⾝份
标识，由卫⽣部数字证
书服务管理系统统⼀分
配。

2.CrlName CRL别名N String针对⼀个CA机构下多
个CA证书链，对应多
个CRL⽂件，通过
CRLName进⾏区分。

CRLName参数可使⽤
CRL颁发者的通⽤名
（即CN）。

3.CrlData 本次传输的⿊名单数
据N String⿊名单（BASE64编码）
(最⼤不超过400K)
4.Num 传输序号N String不⼤于allNum
5.allNum 传输的总次数N String
6.TradeTime CA系统交易时间N String CA系统提交时间，格
式如:20100520133456
表4 ⿊名单同步接⼝返回值表
序号属性属性名称是否
为空
数据类型备注
1.ErrorCode 错误代码ＮString0：成功；
其他值：失败
错误代码如下：
EC301：验证数据签名失
败
EC302：该⿊名单已经同
步成功
EC303：保存数据出现异
常
EC304：超时
2.TradeEndTime 数据同步完成时间N String返回给CA系统,格式为
YYMMDDHHMMSSZ，
如：20100520133456
3.strRetSignValue 返回的签名⼦N String接收端对返回数据的签
名值（Base64编码）。

原
6
⽂数据格式：
ErrorCode+“，”+TradeE
ndTime。

⿊名单信息接⼝XML格式定义如下：
xmlns:xsd="/doc/2214254591.html
/2001/XMLSchema"
xmlns:soapenc="/doc/2214254591.html
/soap/encoding/" xmlns:tns="CAURL"
xmlns:types="CAURL/encodedTypes"
xmlns:soap="/doc/2214254591.html
/soap/envelope/">
string
string
string
string
string
string
string
string
string
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
xmlns:xsd="/doc/2214254591.html
/2001/XMLSchema"
xmlns:soapenc="/doc/2214254591.html
/soap/encoding/" xmlns:tns="CAURL"
xmlns:types="CAURLencodedTypes" xmlns:soap="/doc/2214254591.html /soap/envelope/">
7
string
string
string
4.3 查询证书信息接⼝
函数原型：public CCertInfo GetSingleCertInfo(string paperType,string paperID,
string commonName, string caName, string strSignValue)
功能描述：CA系统调⽤该接⼝，获取该证书是否存在的详细信息。

输⼊参数：paperType：证件类型；paperID：证件号码；
commonName：⽤户姓名或单位名称，该内容为签发的证书主题名称；
caName: 由卫⽣部数字证书服务管理系统统⼀分配
strSignValue：使⽤CA系统服务器证书对三个参数的数据进⾏的数字签名，数据原⽂采⽤XML数据标准，⽰例代码CreateXML.java见附录。

签名算法采⽤sha1RSA，数字签名的数据格式为BASE64编码格式。

返回值：见表5说明。

表5查询证书信息接⼝返回值表
序号属性属性名称是否
为空
数据类型备注
1.CaName 证书的颁发者N String颁发者（电⼦认证服务
机构⾝份标识，由卫⽣
部数字证书服务管理
系统统⼀分配）
/doc/2214254591.html
monNam
e 证书主体N String⽤户姓名或单位名称，
该内容为签发的证书
主题名称
3.PaperType 证件类型N String组织机构代码：JJ
⼯商营业执照：GS
税务登记证：SW
⾝份证：SF
军官证：JG
护照：HZ
回乡证：HX
其他：QT
4.PaperID 证件号码N String个⼈证书和⼯作⼈员
证书填⾝份证号码、军
官证、护照或其他；
机构证书和设备证书
填组织机构代码、⼯商
8
营业执照、税务登记证
或其他。

5.BeginDate 开始⽇期N String证书有效期的开始⽇
期
6.EndDate 截⽌⽇期N String证书有效期的截⽌⽇
期
7.CertType 证书类型ＮString⼯作⼈员证书：G；
内部机构证书：U；
内部设备证书：S
外部个⼈证书：P
外部机构证书：J
外部设备证书：W /doc/2214254591.html
erId ⽤户实体唯⼀标识N String CA系统中的⽤户ID
号，即证书实体唯⼀标
识
9.TradeTime CA系统提交数据时
间N String CA系统提交时间，格
式如:20100520133456
10.CertUniuqied 证书序列号N String证书序列号
(如果是双证书返回的
是加密证书和签名证
书组成的字符串，并⽤
英⽂的逗号分隔) 11.ErrorCode 错误代码ＮString0：没有找到该证书信息；
其他值：失败
错误代码如下：
EC301：验证数据签名
失败
EC302：该证书信息已
经存在，且是有效证
书。

EC303：查询数据出现
异常
EC304：超时
EC305：该证书信息已
经存在，且证书过期。

EC306：该证书信息已
经存在，且证书被吊
销。

12.TradeEndTim
e 查询数据完成时间N String返回给CA系统,格式
为
YYMMDDHHMMSSZ
9
，如：20100520133456
13.strRetSignVal
ue 返回的签名值N String接收端对返回数据的
签名值（Base64编码）。

原⽂数据格式：
ErrorCode+“，”+Trade
EndTime。

查询证书基本信息接⼝XML格式定义如下：
xmlns:xsd="/doc/2214254591.html
/2001/XMLSchema"
xmlns:soapenc="/doc/2214254591.html /soap/encoding/" xmlns:tns="CAURL"
xmlns:types="CAURL/encodedTypes"
xmlns:soap="/doc/2214254591.html
/soap/envelope/">
string
string
string
string
string
string
string
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
xmlns:xsd="/doc/2214254591.html
/2001/XMLSchema"
xmlns:soapenc="/doc/2214254591.html
/soap/encoding/" xmlns:tns="CAURL"
xmlns:types="CAURLencodedTypes" xmlns:soap="/doc/2214254591.html /soap/envelope/">
10
xmlns:types="/doc/2214254591.html
">
string
string
string
string
string
string
string
string
string
string
string
string
string
5 WSDL⽂件
5.1 WSDL原⽂
请参看以下是原⽂，供编码使⽤。

xmlns:apachesoap="/doc/2214254591.html
/xml-soap"
xmlns:impl="/doc/2214254591.html
"
xmlns:intf="/doc/2214254591.html
"
xmlns:soapenc="/doc/2214254591.html
/soap/encoding/"
xmlns:tns1="/doc/2214254591.html
"
xmlns:wsdl="/doc/2214254591.html
/wsdl/"
xmlns:wsdlsoap="/doc/2214254591.html
/wsdl/soap/"
xmlns:xsd="/doc/2214254591.html
/2001/XMLSchema">
xmlns="/doc/2214254591.html
/2001/XMLSchema">
11
type="xsd:string"/>
type="xsd:string"/>
type="xsd:string"/>
type="xsd:string"/>
12
13
xmlns="/doc/2214254591.html
/2001/XMLSchema">
type="impl:ArrayOf_xsd_string"/>
14
type="impl:ArrayOf_xsd_string"/>
type="tns1:CCertInfo"/>
name="CertRequestInfoSynRequest"/>
name="CertRequestInfoSynResponse"/>
name="CrlInfoSynRequest"/>
name="CrlInfoSynResponse"/>
15
parameterOrder="paperType paperID commonName caName strSignValue"> name="GetSingleCertInfoRequest"/>
name="GetSingleCertInfoResponse"/>
type="impl:WSInterface">
transport="/doc/2214254591.html
/soap/http"/>
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
16
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
encodingStyle="/doc/2214254591.html
/soap/encoding/"
namespace="/doc/2214254591.html
" use="encoded"/>
name="WSInterface">
location="http://localhost:8080/MOHInterface/services/WSInterface"/> 17。