卫生系统数字证书格式规范
2卫生系统数字证书应用集成规范(试行1)
2卫⽣系统数字证书应⽤集成规范(试⾏1)卫⽣系统数字证书应⽤集成规范(试⾏)卫⽣部办公厅卫⽣部统计信息中⼼⼆○○九年六⽉⽬录第1章概述 (1)1.1范围 (1)1.2规范性引⽂ (1)1.3术语和定义 (1)第2章总体技术框架 (2)第3章统⼀证书应⽤接⼝ (3)3.1证书介质应⽤接⼝ (3)3.2密码设备应⽤接⼝ (3)3.3通⽤密码接⼝ (3)3.4客户端控件接⼝ (3)3.4.1概述 (3)3.4.2控件接⼝函数 (4)3.5服务端组件接⼝ (21)3.5.1概述 (21)3.5.2COM组件接⼝ (21)3.5.3Java组件接⼝ (41)第4章附录 (63)4.1典型证书应⽤部署模式 (63)4.2证书登录认证集成范例 (64)4.2.1证书登录认证流程 (64)4.2.2数据库改造 (65)4.3页⾯签名加密集成范例 (65)4.3.1页⾯签名加密流程 (65)4.3.2数据库改造 (66)第1章概述1.1范围本规范制定了卫⽣系统数字证书应⽤技术框架,规范了卫⽣体系统⼀证书应⽤接⼝规范和证书应⽤集成部署实施规范。
本规范适⽤于指导卫⽣系统内实现证书应⽤集成实施⼯作,指导为卫⽣系统提供证书应⽤的安全⼚家开发统⼀的证书应⽤接⼝,在卫⽣系统内实现基于数字证书的证书登录、电⼦签名与验证、加密解密等安全功能。
1.2规范性引⽂下列标准所包含的条⽂,通过本规范中的引⽤⽽构成本规范的条⽂。
考虑到标准的修订,使⽤本规范时,应研究使⽤下列标准最新版本的可能性。
公钥密码基础设施应⽤技术体系框架规范公钥密码基础设施应⽤技术体系密码设备应⽤接⼝规范公钥密码基础设施应⽤技术体系通⽤密码服务接⼝规范智能IC卡及智能密码钥匙密码应⽤接⼝规范1.3术语和定义以下术语和定义适⽤于本规范。
1.3.1 数字证书digital certificate由权威认证机构进⾏数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及⼀些扩展信息的数字⽂件。
1卫生系统电子认证服务规范(试行)
卫生系统电子认证服务规范(试行)卫生部办公厅卫生部统计信息中心二○○九年六月目录第1章概述 (1)1.1范围 (1)1.2规范性引文 (1)1.3术语和缩略语 (1)1.3.1术语和定义 (1)1.3.2符号和缩略语 (3)第2章服务总体要求 (4)2.1服务参与方 (4)2.2服务对象及证书分类 (4)2.3服务开展模式 (5)第3章电子认证服务交付要求 (7)3.1电子认证服务交付概述 (7)3.2证书产品的交付形态 (7)3.3身份鉴别 (8)3.3.1身份鉴别模式 (8)3.3.2身份鉴别流程 (8)3.3.3身份鉴别要求 (9)3.4证书申请和签发 (10)3.4.1面向内部用户 (10)3.4.2面向社会公众 (11)3.5证书更新 (11)3.5.1面向内部用户 (11)3.5.2面向社会公众 (12)3.6证书吊销 (12)3.6.1面向内部用户 (12)3.6.2面向社会公众 (13)3.7证书密码解锁 (13)3.7.1面向内部用户 (13)3.7.2面向社会公众 (14)3.8密钥恢复 (14)3.9证书信息发布 (14)3.10证书状态查询 (14)第4章电子认证服务支持要求 (16)4.1电子认证服务支持概述 (16)4.2呼叫中心热线支持 (16)4.3证书服务网站 (16)4.4现场技术支持 (17)4.5应用实施咨询 (17)4.6培训 (17)第5章服务的管理和控制 (18)5.1服务安全性要求 (18)5.2服务可靠性要求 (18)5.3服务时效性要求 (18)5.4服务费用 (19)5.5审计 (19)第1章概述1.1范围本规范描述了电子认证服务的总体要求,定义了参与卫生系统电子认证服务体系建设的相关方和开展电子认证服务的工作机制,规范了电子认证服务机构需要遵循的服务交付要求和服务支持要求,提出了服务的管理和控制要求。
本规范适用于指导参与卫生系统电子认证服务相关方开发电子认证服务,有利于形成标准统一、安全可信、应用方便的卫生系统电子认证服务体系。
卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知
卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2009.12.25•【文号】卫办发[2009]125号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知(卫办发〔2009〕125号)各省、自治区、直辖市卫生厅局,新疆生产建设兵团卫生局:为保障卫生信息系统安全,规范卫生系统电子认证服务体系建设,满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求,依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(工业和信息化部令2009年第1号),结合卫生系统业务特点,我部制定了《卫生系统电子认证服务管理办法(试行)》,并经部务会讨论通过。
现印发给你们,请遵照执行。
附件:卫生系统电子认证服务管理办法(试行)二○○九年十二月二十五日附件卫生系统电子认证服务管理办法(试行)第一章总则第一条为保障卫生信息系统安全,规范卫生系统电子认证服务体系建设,依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(工业和信息化部令2009年第1号),结合卫生系统业务特点,制定本办法。
第二条本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。
管理方包括卫生部和各省级卫生行政部门信息化工作领导小组;使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众;提供方包括为卫生系统提供电子认证服务的电子认证服务机构。
第三条本办法所称电子认证服务,是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范,为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务,从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。
卫生系统数字证书介质技术规范
卫生系统电子认证服务体系系列规范-卫生系统数字证书介质技术规范(试行)卫生部办公厅2010年4月30日1 范围 (3)2 安全机制 (3)2.1 证书介质初始化 (3)2.2 证书介质的安装注册 (3)2.3 介质口令管理 (3)2.4 扩展区要求 (3)2.5 介质类型要求 (3)3 软件要求 (3)3.1 证书介质接口 (3)3.2 安装程序 (5)3.3 卸载程序 (6)4 硬件技术指标 (6)附录(资料性附录) 名词解释 (7)1 范围本规范描述了在卫生系统中使用的数字证书介质的各项要求,包括对安全机制、软件要求、硬件技术指标要求等内容,用于指导电子认证服务机构在卫生系统内进行数字证书介质的定制和选型。
2 安全机制2.1证书介质初始化证书介质的初始化工具由各证书介质供应商提供。
初始化工具应有两种形式:可执行的初始化工具和动态库接口文件。
电子认证服务机构可根据动态库文件开发通用的初始化工具。
2.2证书介质的安装注册证书自动注册功能:要求证书介质内的证书可自动完成系统注册,即当证书介质插入电脑后,介质内证书自动注册到操作系统的证书存储区。
拔出证书介质以后,证书自动从证书存储区删除。
2.3介质口令管理介质口令包括介质用户口令和介质管理员口令两类。
电子认证服务机构应为用户提供的证书管理工具应具备校验介质用户口令和修改介质用户口令的功能。
当用户连续10次输错介质用户口令后,证书介质必须自动锁死。
介质用户口令锁死后,即使输入正确的口令也不能使用证书介质,必须使用介质管理员口令认证,为介质进行解锁,重新设置新的介质用户口令方可继续使用介质。
介质用户口令和介质管理员口令的长度应为6-16位,电子认证服务机构应保证交付给用户的每个介质的管理员口令不同。
2.4扩展区要求证书介质内可创建用户私有文件区,要求可以在卡内保存用户私有文件,可实现扩展应用。
对私有文件区操作时,用户应输入证书介质口令进行验证。
证书介质私有扩展区的空间应不小于10K。
卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知-卫办综发[2010]74号
![卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知-卫办综发[2010]74号](https://img.taocdn.com/s3/m/3485a66df56527d3240c844769eae009581ba2d3.png)
卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知(卫办综发〔2010〕74号)各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为有效贯彻落实《卫生系统电子认证服务管理办法(暂行)》(以下简称《办法》),加快卫生系统电子认证服务体系建设,保障卫生信息系统安全,现将有关事项通知如下:一、充分认识推行电子认证服务工作的重要意义电子认证服务是网络信任体系建设的重要内容,必须加强宏观指导、规划管理。
目前,全国已建或在建各类卫生信息系统,均需要采取电子认证技术有效防止假冒身份、篡改信息、越权操作、否定责任等问题;而且推进电子认证服务是卫生信息化发展的需要,统一的身份认证是各类卫生信息系统实现互联互通、业务协同的基础,有助于解决信息“孤岛”和信息“烟囱”等制约卫生信息化发展的难题。
卫生行政部门必须充分认识,高度重视,认真组织,切实做好电子认证服务工作。
二、积极开展电子认证服务工作为确保电子认证服务机构配制的数字证书能够在各类卫生信息系统中进行注册、授权及使用,实现互信互认、一证多用,我部组织专家研究制定了《卫生系统电子认证服务规范(试行)》、《卫生系统数字证书应用集成规范(试行)》、《卫生系统数字证书格式规范(试行)》、《卫生系统数字证书介质技术规范(试行)》、《卫生系统数字证书服务管理平台接入规范(试行)》等电子认证服务技术规范,明确了卫生系统电子认证服务体系建设的工作机制、服务要求、数字证书应用集成、格式规范、数字证书服务管理平台接入等要求。
卫生系统数字证书格式规范
卫生系统电子认证服务体系系列规范- 卫生系统数字证书格式规范(试行)卫生部办公厅XX年4月30日目录1 范围 (1)2 数字证书类别 (1)3 数字证书基本格式 (1)3.1基本结构 (1)3.2基本证书域TBSCertificate (1)3.3 签名算法域SignatureAlgorithm (5)3.4 签名值域SignatureValue (5)3.5 命名规范 (5)4 数字证书模板 (5)4.1 个人证书模版 (5)4.2 机构证书模版 (6)4.3 设备证书模版 (8)5 CRL格式 (9)5.1 CRL基本结构 (9)5.2 CRL模版 (10)附录A (资料性附录) 证书主体DN命名示例 (11)附录B (资料性附录) 证书格式编码示例 (12)附录C (资料性附录) 名词解释 (20)1 范围本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式,制定了各类数字证书及证书撤消列表格式模板,用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表,以保障数字证书在卫生系统内各信息系统之间的互信互认。
本规范在GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》基础上,针对卫生系统的电子认证需求,在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充,以适应卫生系统的业务特点和应用需求。
2 数字证书类别根据卫生系统用户特点及应用需求,数字证书按照内部用户和外部用户分成如下六类。
1) 内部机构证书 2) 内部工作人员证书 3) 内部设备证书 4) 外部机构证书 5) 外部个人证书 6) 外部设备证书 3 数字证书基本格式3.1 基本结构数字证书的基本结构由基本证书域TBSCertificate 、签名算法域SignatureAlgorithm 、签名值域SignatureValue 等三部分组成。
其中,基本证书域由基本域和扩展域组成,如图1所示:图 1 数字证书基本结构示意图3.2 基本证书域 TBSCertificate基本证书域包括基本域和扩展域。
卫生系统电子认证服务规范
卫生系统电子认证服务体系系列规范- 卫生系统电子认证服务规范(试行)卫生部办公厅2010年4月30日1 范围 (1)2 服务总体要求 (1)2.1 证书分类 (1)2.2 证书产品 (1)2.3 服务模式 (1)2.4 服务内容 (1)2.5 平台接入 (2)3 证书业务服务 (2)3.1 证书申请 (2)3.2 证书发放 (2)3.3 证书更新 (2)3.4 证书吊销 (2)3.5 证书解锁 (2)3.6 密钥恢复 (3)3.7 证书查询 (3)4 技术支持服务 (3)4.1服务方式 (3)4.2服务内容 (3)5 服务的保障 (4)5.1组织保障 (4)5.2制度保障 (4)5.3安全保障 (4)附录(资料性附录) 名词解释 (5)1 范围本规范依据《卫生系统电子认证服务管理办法(试行)》,定义了参与卫生系统电子认证服务体系建设的管理方、使用方和提供方开展电子认证服务的工作机制,描述了卫生系统电子认证服务的总体要求,规范了电子认证服务机构需要遵循的证书业务服务和证书支持服务的要求,提出了服务的保障要求。
本规范适用于卫生系统电子认证服务体系建设的管理方、使用方和提供方。
2 服务总体要求2.1 证书分类根据卫生系统内的用户群体所处单位和担任的职能不同,数字证书用户包括卫生系统内部用户和外部用户。
内部用户是指全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员。
外部用户是指涉及卫生业务的企事业单位和社会公众。
根据用户特点及应用需求,卫生系统数字证书分为内部用户证书和外部用户证书,共六类:(1)内部机构证书是指为各级卫生行政部门和各级各类医疗卫生机构颁发的证书,代表卫生机构的身份。
(2)内部工作人员证书是指为各级卫生行政部门和各级各类医疗卫生机构的工作人员颁发的证书,代表个人的身份。
(3)内部设备证书是指各级卫生信息系统使用的服务器证书或VPN设备证书等。
(4)外部机构证书是指为涉及卫生业务的企事业单位颁发的代表法人身份的证书。
数字证书管理使用规程
数字证书管理使用规程一、总则(一)为进一步规范“全国卫生监督信息系统”数字证书的使用,规范数字证书的管理,制定本规程。
(二)本规程所称数字证书,是指在“全国卫生监督信息系统”中使用的数字证书,主要是颁发给个人的数字证书,个人数字证书用于认证各级卫生监督工作人员的身份。
(三)本规程所称数字证书服务,主要包括:数字证书的申请、更新、撤销、解锁,以及数字证书的应用支持等。
二、数字证书的申请(一)申请数字证书,由各单位统一收集证书申请者的信息。
证书办理单位对证书申请人信息的真实性、完整性和准确性负责。
(二)办理数字证书的业务流程如下:1.证书办理单位填写《信天行数字证书业务申请表》(附件1)。
表中带*号为必填项,选择信天行数字证书(个人版),证书初次申请业务类型,加盖单位公章。
2.证书办理单位负责核实个人的姓名、身份证号码等身份信息,将个人申请信息填入《信天行数字证书业务申请明细表》(附件2),并加盖单位公章。
3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。
4. 卫生部卫生监督中心信息处将信息提交给证书制作单位,统一制作证书,并发放给最终用户。
三、数字证书的更新(一)数字证书有效期为一年。
有效期满前一个月内,卫生部卫生监督中心信息处将通知各单位组织办理证书更新业务。
证书更新方式为网上自主更新。
(二)办理证书网上自主更新的业务流程如下:1.证书办理单位填写《信天行数字证书业务申请表》(附件1)。
表中带*号为必填项,选择信天行数字证书(个人版),证书更新业务类型,加盖单位公章。
2.证书办理将需要更新证书的用户信息填入《信天行数字证书业务申请明细表》(附件2),并加盖单位公章。
3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。
4.卫生部卫生监督中心信息处经过审核及授权后,证书用户访问证书更新网址,使用原有证书登录并输入证书密码,按照提示完成证书更新。
数字证书格式详细说明
数字证书格式常见的数字证书格式cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是. pem) p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。
在Security编程中,有几种典型的密码交换信息文件格式: DER-encoded certificate: .cer, .crtPEM-encoded message: .pemPKCS#12 Personal Information Exchange: .pfx, .p12PKCS#10 Certification Request: .p10PKCS#7 cert request response: .p7rPKCS#7 binary message: .p7b.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式p10是证书请求p7r是CA对证书请求的回复,只用于导入p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
其中,我介绍如何从p12/pfx文件中提取密钥对及其长度: 1,首先,读取pfx/p12文件(需要提供保护密码)2,通过别名(Alias,注意,所有证书中的信息项都是通过Alias来提取的)提取你想要分析的证书链3,再将其转换为一个以X509证书结构体4,提取里面的项,如果那你的证书项放在第一位(单一证书),直接读取x509Certs[0](见下面的代码)这个X509Certificate对象5,X509Certificate对象有很多方法,tain198127网友希望读取RSA密钥(公私钥)及其长度(见/thread.shtml?topicId=43786&forumId=55&#reply),那真是太Easy了,X509Certificate keyPairCert = x509Certs[0];int iKeySize = X509CertUtil.getCertificateKeyLength(keyPairCert);System.out.println("证书密钥算法="+keyPairCert.getPublicKey().ge tAlgorithm());System.out.println("证书密钥长度="+iKeySize);提取了他所需要的信息。
2卫生系统数字证书应用集成规范
卫生系统电子认证服务体系系列规范-卫生系统数字证书应用集成规范(试行)卫生部办公厅2010年4月30日1 范围 (1)2 应用集成目标 (1)3 应用集成要求 (1)4 应用集成内容 (1)5 统一证书应用接口规范 (2)5.1 统一证书应用接口概述 (2)5.2 证书应用综合服务接口概述 (2)5.3 证书应用综合服务接口客户端接口函数定义 (4)5.4 证书应用综合服务接口服务器端COM组件函数定义 (9)5.5 证书应用综合服务接口服务器端JA V A组件函数定义 (17)5.6 证书应用综合服务接口相关代码表 (26)附录A (资料性附录) 证书应用接口实施示例 (32)附录B (资料性附录) 名词解释 (35)1 范围本规范依据《卫生系统电子认证服务管理办法(试行)》,参照国家密码管理局“公钥密码基础设施应用技术体系”系列技术规范,结合卫生系统业务特点,提出卫生系统数字证书应用集成目标、集成要求、集成内容,定义统一的证书应用接口,并提供证书应用接口的典型部署示例、登录认证流程示例和签名验证流程示例。
本规范用于指导并规范卫生信息系统证书应用集成实施工作,指导电子认证服务机构开发标准统一的证书应用接口,规范卫生信息系统实现基于数字证书的安全登录、数字签名和加密解密等安全功能。
2 应用集成目标1)在目前卫生信息系统普遍使用的用户名/口令认证方式基础上,引入数字证书技术,建立基于数字证书的身份认证机制,确保系统访问控制的高安全性和高可靠性;2)对卫生信息系统的重要操作环节和重要数据实现基于数字证书的数字签名功能,保护数据的完整性,并为后期纠纷处理及责任认定提供合法电子证据;3)对卫生信息系统的敏感信息实现基于数字证书的数据加密功能,确保敏感信息在传输和存储阶段的安全性。
3 应用集成要求在证书应用集成时,应根据卫生系统各应用单位的业务特点和业务需求,确定需要改造的业务系统数量及名称、确定需要使用证书认证的用户及范围、确定需要加密签名的重要操作环节和数据,具体集成要求如下:1)卫生信息系统在集成数字证书的安全功能时,首先应实现基于数字证书的身份认证功能;2)对于具有操作行为责任认定、证据保存需求的卫生信息系统,应实现基于数字证书的数字签名的功能;3)对于具有数据加密和解密需求的卫生信息系统,应实现基于数字证书的信息加密、信息解密功能;4)对于具有可信时间需求的卫生信息系统,应集成时间戳功能;5)对于具有信息共享需求的多个应用系统,可采用统一的身份认证模式,实现统一的身份认证管理、用户信息共享和单点登录等功能。
卫生系统数字证书服务管理平台接入规范
卫生系统数字证书服务管理平台接入规范点击数:141 更新时间:2010-07-03卫生部办公厅 2010年4月30日卫生系统电子认证服务体系系列规范目录1 范围 (1)2 系统接入总体要求 (1)3 CA系统功能要求 (1)4 CA系统接入接口要求 (2)4.1 证书信息同步接口 (2)4.2 黑名单信息同步接口 (5)4.3 查询证书信息接口 (8)附录 (资料性附录) 名词解释 (11)1 范围根据《卫生系统电子认证服务管理办法(试行)》相关要求,电子认证服务机构在开展服务前须接入卫生部数字证书服务管理系统。
本规范描述了电子认证服务机构的CA系统(简称CA系统)接入卫生部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接入接口要求等。
本规范用于指导相关电子认证服务机构将CA系统接入卫生部数字证书服务管理系统,实现系统接入过程标准化及安全控制,实现数字证书服务的统一管理。
2 系统接入总体要求根据《卫生系统电子认证服务管理办法(试行)》的规定,卫生部将建设集中的数字证书服务管理系统,用于卫生系统内所有证书用户信息的收集、查询、统计和分析,以及进行用户意见收集、服务质量监督等管理工作。
卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。
拟为卫生系统领域提供服务的电子认证服务机构,须符合《卫生系统电子认证服务管理办法(试行)》的相关要求,将CA系统接入到卫生部数字证书服务管理系统。
接入卫生部数字证书服务管理系统的电子认证服务机构应符合以下要求:1) 电子认证服务机构的CA系统应符合《证书认证系统密码及其相关安全技术规范》。
2) 电子认证服务机构的CA系统应遵循《电子政务电子认证体系建设总体规划》(国密局联字[2007]2号)中关于电子认证体系建设的相关要求,符合《电子政务电子认证服务管理办法》(国密局发[2009]7)相关要求。
3) 电子认证服务机构的CA系统签发的证书应遵循《卫生系统数字证书格式规范》,使用的证书介质应符合《卫生系统数字证书介质技术规范》,开展证书应用集成工作时应遵循《卫生系统数字证书应用集成规范》。
数字证书规范
数字证书规范数字证书是现代加密通信中的重要工具,用于确保通信的机密性、完整性和身份验证。
为了确保数字证书的有效性和一致性,需要遵循一套规范和标准来生成、发布和验证数字证书。
本文将介绍数字证书规范的要点和相关标准。
一、数字证书概述数字证书是一种电子文档,用于验证公钥的真实性和属主的身份。
它由证书颁发机构(CA)根据一定的流程和规范进行签名和颁发。
数字证书包含了属主的公钥、CA的签名和其他相关信息,如证书的有效期限、用途等。
数字证书的作用主要有两个方面:1. 身份验证:数字证书可以确保通信双方的身份真实可靠,防止伪装和冒名行为。
2. 通信加密:数字证书可以用于加密通信内容,保护通信的机密性和完整性。
二、数字证书的生成和发布数字证书的生成和发布过程需要遵循一定的规范和标准,以确保证书的有效性和安全性。
以下是数字证书生成和发布的一般步骤:1. 生成公私钥对:属主生成一对密钥,包括公钥和私钥。
2. 证书申请:属主向CA提交数字证书申请,包括公钥、身份信息等。
3. 身份验证:CA对申请者的身份信息进行验证。
4. 证书签名:CA使用自己的私钥对属主的公钥和其他相关信息进行签名。
5. 证书发布:CA将签名的证书发布到公共目录或通过其他安全渠道发送给属主。
三、数字证书的验证在使用数字证书进行通信时,接收方需要对数字证书进行验证,以确保证书的真实性和有效性。
数字证书的验证过程一般包括以下步骤:1. 获取证书:接收方从公共目录或其他可信任的渠道获取数字证书。
2. 验证签名:接收方使用CA的公钥来验证数字证书的签名,确保证书的合法性。
3. 验证有效期:接收方检查数字证书的有效期,确保证书未过期。
4. 验证身份信息:接收方对属主的身份信息进行验证,以确认对方的身份真实可靠。
四、相关标准和规范为了保证数字证书的一致性和互操作性,国际标准化组织(ISO)和其他组织制定了一系列的标准和规范。
以下是与数字证书相关的一些标准和规范:1. X.509标准:X.509是国际电信联盟(ITU)发布的一项标准,规定了数字证书的格式、内容和相关信息的编码方式。
x.509数字证书格式中包含的元素
x.509数字证书格式中包含的元素
x.509是一种广泛使用的公钥基础设施(PKI)标准,在数字证书中有广泛应用。
它包含以下一些重要的元素:
版本号(Version)
数字证书中包含一个版本号,用于表示证书所采用的x.509标准的版本。
序列号(Serial Number)
每个数字证书都有一个唯一的序列号,用于标识证书的唯一性。
颁发者(Issuer)
颁发者指的是发放数字证书的机构或个人,它包含颁发者的名称和一些其他相关信息。
有效期(Validity)
有效期表示数字证书的生效时间和失效时间。
主题(Subject)
主题指的是使用数字证书的实体,例如个人、组织或者网站,它包含主题的名称和其他相关信息。
公钥(Public Key)
数字证书中包含一个公钥,用于加密信息或验证数字签名。
数字签名(Digital Signature)
数字证书中包含有关证书的数字签名,用于验证证书的真实性和完整性。
扩展字段(Extensions)
扩展字段包含一些额外的元数据,用于存储一些特定的信息,例如证书的用途、策略等。
以上只是x.509数字证书中的一些重要元素,还有其他一些元素可以根据需要进行添加或修改。
数字证书的格式
数字证书的主要组成部分及格式
数字证书通常使用X.509标准进行编码和表示。
它是一种常用的数字证
书格式,用于对公钥进行认证和身份验证。
以下是数字证书的主要组成
部分:
1. 版本号:证书的版本信息,通常以数字表示。
常见的版本包括v1、v2
和v3。
2. 序列号:由颁发机构分配的唯一标识符,用于识别证书的唯一性。
3. 签名算法标识:指示用于生成数字签名的算法类型,例如RSA、DSA
或ECDSA。
4. 颁发者:颁发证书的机构或实体的标识信息,包括名称、组织等。
5. 有效期:证书的生效和失效日期,用于限制证书的使用时间范围。
6. 主体:持有证书的实体或实体组织的标识信息,通常包括名称、组织、国家等。
7. 主体公钥信息:证书中包含的公钥,用于加密、签名和身份验证等操作。
8. 扩展信息:额外的证书相关信息,如证书用途、颁发机构的策略等。
9. 颁发者签名:颁发机构对证书信息进行数字签名的结果,用于验证证
书的完整性和真实性。
数字证书一般使用Base64编码,将二进制数据转换为可打印字符,以便在网络中传输和存储。
通常,数字证书的文件扩展名为.pem、.crt或.cer。
总结:数字证书的格式主要采用X.509标准,包含版本号、序列号、签
名算法标识、颁发者、有效期、主体、主体公钥信息、扩展信息和颁发
者签名等信息。
它使用Base64编码,并常见的文件扩展名为.pem、.crt 或.cer。
5卫生系统数字证书服务管理平台接入规范方案
卫生系统电子认证服务体系系列规范-卫生系统数字证书服务管理平台接入规范(试行)卫生部办公厅2010年4月30日1 范围 (1)2 系统接入总体要求 (1)3 CA系统功能要求 (2)4 CA系统接入接口要求 (3)4.1 证书信息同步接口 (3)4.2 黑名单信息同步接口 (10)4.3 查询证书信息接口 (15)附录(资料性附录) 名词解释 (21)1 范围根据《卫生系统电子认证服务管理办法(试行)》相关要求,电子认证服务机构在开展服务前须接入卫生部数字证书服务管理系统。
本规范描述了电子认证服务机构的CA系统(简称CA系统)接入卫生部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接入接口要求等。
本规范用于指导相关电子认证服务机构将CA系统接入卫生部数字证书服务管理系统,实现系统接入过程标准化及安全控制,实现数字证书服务的统一管理。
2 系统接入总体要求根据《卫生系统电子认证服务管理办法(试行)》的规定,卫生部将建设集中的数字证书服务管理系统,用于卫生系统内所有证书用户信息的收集、查询、统计和分析,以及进行用户意见收集、服务质量监督等管理工作。
卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。
拟为卫生系统领域提供服务的电子认证服务机构,须符合《卫生系统电子认证服务管理办法(试行)》的相关要求,将CA系统接入到卫生部数字证书服务管理系统。
接入卫生部数字证书服务管理系统的电子认证服务机构应符合以下要求:1)电子认证服务机构的CA系统应符合《证书认证系统密码及其相关安全技术规范》。
2)电子认证服务机构的CA系统应遵循《电子政务电子认证体系建设总体规划》(国密局联字[2007]2号)中关于电子认证体系建设的相关要求,符合《电子政务电子认证服务管理办法》(国密局发[2009]7)相关要求。
3)电子认证服务机构的CA系统签发的证书应遵循《卫生系统数字证书格式规范》,使用的证书介质应符合《卫生系统数字证书介质技术规范》,开展证书应用集成工作时应遵循《卫生系统数字证书应用集成规范》。
卫生系统数字证书介质技术规范
卫生系统电子认证服务体系系列规范-卫生系统数字证书介质技术规范(试行)卫生部办公厅2010年4月30日1 范围 (3)2 安全机制 (3)2.1 证书介质初始化 (3)2.2 证书介质的安装注册 (3)2.3 介质口令管理 (3)2.4 扩展区要求 (3)2.5 介质类型要求 (3)3 软件要求 (3)3.1 证书介质接口 (3)3.2 安装程序 (5)3.3 卸载程序 (6)4 硬件技术指标 (6)附录(资料性附录) 名词解释 (7)1 范围本规范描述了在卫生系统中使用的数字证书介质的各项要求,包括对安全机制、软件要求、硬件技术指标要求等内容,用于指导电子认证服务机构在卫生系统内进行数字证书介质的定制和选型。
2 安全机制2.1证书介质初始化证书介质的初始化工具由各证书介质供应商提供。
初始化工具应有两种形式:可执行的初始化工具和动态库接口文件。
电子认证服务机构可根据动态库文件开发通用的初始化工具。
2.2证书介质的安装注册证书自动注册功能:要求证书介质内的证书可自动完成系统注册,即当证书介质插入电脑后,介质内证书自动注册到操作系统的证书存储区。
拔出证书介质以后,证书自动从证书存储区删除。
2.3介质口令管理介质口令包括介质用户口令和介质管理员口令两类。
电子认证服务机构应为用户提供的证书管理工具应具备校验介质用户口令和修改介质用户口令的功能。
当用户连续10次输错介质用户口令后,证书介质必须自动锁死。
介质用户口令锁死后,即使输入正确的口令也不能使用证书介质,必须使用介质管理员口令认证,为介质进行解锁,重新设置新的介质用户口令方可继续使用介质。
介质用户口令和介质管理员口令的长度应为6-16位,电子认证服务机构应保证交付给用户的每个介质的管理员口令不同。
2.4扩展区要求证书介质内可创建用户私有文件区,要求可以在卡内保存用户私有文件,可实现扩展应用。
对私有文件区操作时,用户应输入证书介质口令进行验证。
证书介质私有扩展区的空间应不小于10K。
医院数字证书管理制度
一、总则为保障医院信息化建设的安全与稳定,提高医疗服务质量,确保患者隐私安全,根据《中华人民共和国网络安全法》和《医疗机构管理条例》等法律法规,结合我院实际情况,特制定本制度。
二、数字证书的申请与发放1. 医院信息科负责数字证书的申请与发放工作。
2. 医院各部门和个人需按照规定向信息科申请数字证书。
3. 申请数字证书时,需提供有效身份证明和所在部门的相关证明材料。
4. 信息科对申请材料进行审核,审核通过后,为申请人发放数字证书。
三、数字证书的使用与管理1. 数字证书是医院信息化系统中身份认证的重要手段,各部门和个人应妥善保管和使用数字证书。
2. 数字证书仅限本人使用,不得转借或转用,否则由证书所有人承担相应责任。
3. 使用数字证书登录系统时,应确保密码安全,不得泄露给他人。
4. 数字证书密码遗失或遗忘,应及时联系信息科重置密码。
5. 数字证书有效期届满前,信息科将通知持证人进行续期。
四、数字证书的注销与回收1. 数字证书持证人离职、退休或因其他原因不再使用数字证书时,应及时向信息科申请注销。
2. 信息科在收到注销申请后,对数字证书进行注销处理,并回收相关证书。
3. 注销的数字证书由信息科统一保管,定期销毁。
五、数字证书的安全保障1. 信息科负责数字证书的安全管理,确保数字证书不被非法获取、使用或篡改。
2. 数字证书存储介质应采用安全措施,防止数据泄露。
3. 信息科定期对数字证书进行安全检查,发现问题及时整改。
六、责任与处罚1. 医院各部门和个人应严格遵守本制度,确保数字证书的安全使用。
2. 违反本制度,造成数字证书丢失、泄露或被非法使用的,根据情节轻重,追究相关责任。
3. 对故意泄露数字证书信息、篡改数字证书等违法行为,依法予以处罚。
七、附则1. 本制度自发布之日起施行。
2. 本制度由医院信息科负责解释。
3. 本制度如有未尽事宜,由医院信息科根据实际情况予以补充和完善。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
卫生系统电子认证服务体系系列规范- 卫生系统数字证书格式规范(试行)卫生部办公厅XX年4月30日目录1 范围 (1)2 数字证书类别 (1)3 数字证书基本格式 (1)3.1基本结构 (1)3.2基本证书域TBSCertificate (1)3.3 签名算法域SignatureAlgorithm (5)3.4 签名值域SignatureValue (5)3.5 命名规范 (5)4 数字证书模板 (5)4.1 个人证书模版 (5)4.2 机构证书模版 (6)4.3 设备证书模版 (8)5 CRL格式 (9)5.1 CRL基本结构 (9)5.2 CRL模版 (10)附录A (资料性附录) 证书主体DN命名示例 (11)附录B (资料性附录) 证书格式编码示例 (12)附录C (资料性附录) 名词解释 (20)1 范围本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式,制定了各类数字证书及证书撤消列表格式模板,用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表,以保障数字证书在卫生系统内各信息系统之间的互信互认。
本规范在GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》基础上,针对卫生系统的电子认证需求,在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充,以适应卫生系统的业务特点和应用需求。
2 数字证书类别根据卫生系统用户特点及应用需求,数字证书按照内部用户和外部用户分成如下六类。
1) 内部机构证书 2) 内部工作人员证书 3) 内部设备证书 4) 外部机构证书 5) 外部个人证书 6) 外部设备证书 3 数字证书基本格式3.1 基本结构数字证书的基本结构由基本证书域TBSCertificate 、签名算法域SignatureAlgorithm 、签名值域SignatureValue 等三部分组成。
其中,基本证书域由基本域和扩展域组成,如图1所示:图 1 数字证书基本结构示意图3.2 基本证书域 TBSCertificate基本证书域包括基本域和扩展域。
3.2.1 基本域基本域由如下部分组成:a) 版本 Versionb) 序列号 SerialNumberc) 签名算法 SignatureAlgorithm d) 颁发者 Issuer e) 有效期 Validity f) 主体 Subjectg) 主体公钥信息 SubjectPublicKeyInfo 下面分别详细介绍各组成部分的格式要求。
3.2.1.1 版本 Version本项描述了数字证书的版本号。
数字证书应使用版本3(对应的数值是整数“2”)。
数字证书基本证书域签名算法域 签名值域基本域扩展域3.2.1.2 序列号SerialNumber本项是CA系统分配给每个证书的一个正整数,一个CA系统签发的每张证书的序列号应是唯一的。
序列号最长可为20个8位字节的序列号值。
证书更新时序列号应改变。
3.2.1.3 签名算法SignatureAlgorithm本项包含CA签发该证书所使用的密码算法的标识符,算法标识符应与证书中SignatureAlgorithm 项的算法标识符相同。
签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算法及时调整,以适应国家最新技术标准要求。
3.2.1.4 颁发者Issuer本项标识了证书签名和证书颁发的实体。
它必须包含一个非空的可甄别名。
该项被定义为X.500的Name类型。
颁发者甄别名称(Distinguished Name,简称DN)的C(Country)属性的编码应使用PrintableString。
Email属性的编码应使用IA5String。
其它属性的编码应一律使用UTF8String。
证书颁发者DN编码规范如表1所示:3.2.1.5 有效期Validity本项是指一个时间段,在这个时间段内,CA系统担保它将维护关于证书状态的信息。
该项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书有效期的终止时间(notAfter)。
卫生系统数字证书有效期的NotBefore和 NotAfter这两个时间都采用GeneralizedTime类型进行编码。
GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。
GeneralizedTime值必须用格林威治标准时间表示,且必须包含秒(即时间格式为YYYYMMDDHHMMSSZ)。
3.2.1.6 主体Subject本项描述了与主体公钥项中的公钥相对应的实体。
主体名称可以出现在主体项或主体替换名称扩展项中(SubjectAltName)。
如果主体是一个CA,那么主体项必须与其签发的所有证书的颁发者相同,一个CA认证的每个主体实体的甄别名称应是唯一的。
一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。
该项不能为空。
3.2.1.7 主体公钥信息SubjectPublicKeyInfo本项用来标识公钥和相应的公钥算法。
公钥算法使用算法标识符AlgorithmIdentifier结构来表示。
3.2.2 扩展域本规范定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。
数字证书允许定义标准扩展项和专用扩展项。
每个证书中的扩展可以定义成关键性的和非关键性的。
一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。
扩展关键度(extension criticality)告诉一个证书的使用者是否可以忽略某一扩展类型。
证书的应用系统如果不能识别关键的扩展时,必须拒绝接受该证书,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。
证书扩展域结构如图2所示。
图 2 扩展域构成示意图本条定义了如下一些标准的扩展项和专业扩展项:a) 密钥用法 KeyUsageb) 主体密钥标识符 SubjectKeyIdentifierc) 颁发机构密钥标识符 AuthorityKeyIdentifier d) 证书策略 CertificatePoliciese) 实体唯一标识 用户证书必须签发证书唯一标识扩展项。
3.2.2.1 密钥用法 KeyUsage本项说明已认证的公开密钥用于何种用途。
所有证书应具有密钥用法扩展项。
密钥用法定义:id-ce-keyUsage OBJECT IDENTIFIER ::= {id-ce 15} KeyUsage::=BIT STRING{digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyCertSign (5), cRLSign (6), encipherOnly (7), decipherOnly (8) }所有的CA 证书必须包括本扩展,而且必须包含keyCertSign 这一密钥用途。
用户证书则根据证书用途,分“签名”证书和“加密”证书,选择对应的密钥用途进行签发。
此扩展可定义为关键的或非关键的。
3.2.2.2 主体密钥标识符 SubjectKeyIdentifier本项提供一种识别包含有一个特定公钥的证书的方法。
此扩展标识了被认证的公开密钥,它能够区分同一主体使用的不同密钥。
对于使用密钥标识符的主体的各个密钥标识符而言,每一个密钥标识符均应是唯一的。
CA 签发证书时必须把CA 证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier 扩展中的KeyIdentifier 项。
CA 证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。
终端实体证书的主体密钥标识符应从公钥中导出。
所有的CA 证书必须包括本扩展,此扩展项为非关键项。
3.2.2.3 颁发机构密钥标识符 AuthorityKeyIdentifier扩展域扩展项1 扩展项2扩展项3 扩展关键度 扩展项值…… 扩展项n扩展类型本项提供了一种方式,以识别与证书签名私钥相应的公钥。
当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。
识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。
CA产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项,以便于链的建立。
CA以“自签”(self-signed )证书形式发放其公钥时,可以省略认证机构密钥标识符。
本项既可用作证书扩展亦可用作CRL扩展。
本项标识用来验证在证书或CRL上签名的公开密钥。
它能辨别同一CA使用的不同密钥。
3.2.2.4 证书策略CertificatePolicies本项包含了一系列策略信息条目,每个条目都有一个OID和一个可选的限定条件。
在用户证书中,这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的;在CA证书中,这些策略条目指定了包含这个证书的验证路径的策略集合。
数字证书是否包括本扩展为可选的,是否为关键项也是可选的。
3.2.2.5 实体唯一标识本项代表一个证书持有者身份的唯一编码,在业务系统中,本标识可与应用系统内用户账号一一关联,从而用于实现证书用户与系统用户的绑定。
实体唯一标识的OID由各电子认证服务机构自行申请和定义。
“实体唯一标识”的编码规范如下:用户编号(变长)+ “@”+ CA编号(4位)+证件类型代码(2位)+安全标识(1位)+证件号码(变长)其中,用户编号是一个证书实体的证书序号,建议用户编号采用阿拉伯数字,例如一个企业申请2个证书,则第一张证书的用户编码为1,第2张证书的用户编号为2,依次类推。
CA编号应为CA机构的《电子认证服务许可证》上的“许可证编号”的后四位数字。
证件类型代码是证书用户申请数字证书使用的关键证件的编码,证书类型和号码类型的代码如表2所示:表2 证书类型与证件类型代码对应表安全标识使用1位数字代表不同含义,其意义如下:0:代表其后的“证件号码”为明文格式签发;1:代表其后的“证件号码”为BASE64编码格式签发;各类证书中证件号码的安全标识的定义根据应用需求而定。
用户根据不同的证书类型,应提供不同的证件办理数字证书。
例如:个人证书的办理时提供的证件为身份证,身份证号码为:342222************,CA机构编号为1001,该CA中心为用户签发的第一张数字证书的实体唯一标识应为:1)安全标识为0时的值应为:1@1001SF03422221972050536182)安全标识为1时的值应为:1@1001SF1+ Base64(342222************)对于机构证书,如果提供组织机构代码证件号码为:123456789, CA机构编号为1001,该CA中心为用户签发的第一张数字证书的实体唯一标识应为:1)安全标识为0时的值应为:1@1001JJ01234567892)安全标识为1时的值应为:1@1001JJ1+ Base64(123456789)实体唯一标识项数据的总长度不应超过128字节。