卫生系统数字证书服务管理平台接入规范.doc

卫生部办公厅2010年4月30日卫生系统电子认证服务体系系列规范-卫生系统数字证书服务管理平台接入规范（试行）目 录1 范围12 系统接入总体要求13 CA系统功能要求14 CA系统接入接口要求24.1 证书信息同步接口24.2 黑名单信息同步接口44.3 查询证书信息接口85 WSDL文件115.1 WSDL原文11附录 (资料性附录) 名词解释181 范围根据卫生系统电子认证服务管理办法（试行）相关要求，电子认证服务机构在开展服务前须接入卫生部数字证书服务管理系统。本规范描述了电子认证服务机构的CA系统（简称CA系统）接入卫生部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接入接口要求等。本规范用于指导相关电子认证服务机构将CA系统接入卫生部数字证书服务管理系统，实现系统接入过程标准化及安全控制，实现数字证书服务的统一管理。2 系统接入总体要求根据卫生系统电子认证服务管理办法（试行）的规定，卫生部将建设集中的数字证书服务管理系统，用于卫生系统内所有证书用户信息的收集、查询、统计和分析，以及进行用户意见收集、服务质量监督等管理工作。卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。拟为卫生系统领域提供服务的电子认证服务机构，须符合卫生系统电子认证服务管理办法（试行）的相关要求，将CA系统接入到卫生部数字证书服务管理系统。接入卫生部数字证书服务管理系统的电子认证服务机构应符合以下要求：1) 电子认证服务机构的CA系统应符合证书认证系统密码及其相关安全技术规范。2) 电子认证服务机构的CA系统应遵循电子政务电子认证体系建设总体规划（国密局联字20072号）中关于电子认证体系建设的相关要求，符合电子政务电子认证服务管理办法(国密局发20097)相关要求。3) 电子认证服务机构的CA系统签发的证书应遵循卫生系统数字证书格式规范，使用的证书介质应符合卫生系统数字证书介质技术规范，开展证书应用集成工作时应遵循卫生系统数字证书应用集成规范。4) 电子认证服务机构的CA系统的功能应符合本文第3章要求。5) 电子认证服务机构的CA系统应遵循本文第4章的接口要求，将CA系统中的数字证书和黑名单及时同步到卫生部数字证书服务管理系统。3 CA系统功能要求电子认证服务机构的CA系统须具备如下基本功能：1) 证书申请：CA系统签发的证书类型应包括：内部机构证书、内部工作人员证书、内部设备证书、外部机构证书、外部个人证书和外部设备证书。以上各类证书格式须符合卫生系统数字证书格式规范的要求。对内部用户提供服务时，为提高证书办理效率，CA系统应提供批量录入和批量审核的功能。2) 证书更新：CA系统应提供证书更新功能。证书更新后，新证书的有效期须延长，密钥须更换，证书的实体唯一标识须保持不变。3) 证书解锁：证书保护口令连续10次输入错误，证书介质须自动锁死。CA系统应提供证书解锁功能，用户可重新设置新的证书保护口令。 4) 证书吊销：CA系统应提供证书吊销功能。证书吊销后，CA系统应实时签发黑名单，并将黑名单发布给相关的卫生信息系统和卫生部数字证书服务管理系统。5) 密钥恢复：CA系统应提供加密密钥和加密证书的恢复功能。密钥恢复后，用户可恢复原有的加密证书和加密密钥，证书和密钥的存储格式应与原有证书一致，保障用户的历史密文信息可以完成解密操作。6) 证书信息发布：CA系统应提供将数字证书申请、更新和吊销等相关信息同步到卫生部数字证书服务管理系统的功能。数据同步时，CA系统应遵循和调用证书服务管理系统的证书信息同步接口（详见4.1节）。CA系统应提供证书信息发布功能，外部证书用户的发布按照批准的电子认证业务规则（CPS）规定的策略执行，内部用户证书在对外发布前应经用户管理单位审定。4 CA系统接入接口要求电子认证服务机构的CA系统调用数字证书服务管理系统提供的数据同步接口，实现与卫生部数字证书服务管理系统之间数字证书和黑名单的信息同步等，接口的函数原型及功能描述请参照以下章节描述。4.1 证书信息同步接口函数原型：public string CertRequestInfoSyn(CUserInfo userinfo, string strSignValue)。功能描述：CA系统调用该接口，将证书数据同步到卫生部数字证书服务管理系统。输入参数：CUserInfo：需要同步的证书数据，详见表1说明。strSignValue：使用CA系统的服务器证书对CUserInfo域的数据组合进行的数字签名，数据原文采用XML数据标准格式，示例代码CreateXML.java见附录。签名算法采用sha1RSA，数字签名的数据格式为BASE64编码格式。返回值：详见表2说明。表 1 CUserInfo证书信息表序号属性属性名称是否为空数据类型备注1.TradeType业务类型String1：证书首次发放2：证书更新3：证书吊销2.CaInfoCA身份标识StringCA身份标识，CA机构的营业许可证后4位数字3.CertType证书类型String工作人员证书：G；内部机构证书：U；内部设备证书：S外部个人证书：P外部机构证书：J外部设备证书：W4.UserId用户实体唯一标识StringCA系统中的用户ID号，即证书实体唯一标识5.CommonName证书主体String用户姓名或单位名称，该内容为签发的证书主题名称6.PaperType证件类型String组织机构代码：JJ工商营业执照：GS税务登记证：SW身份证：SF军官证：JG护照：HZ回乡证：HX其他：QT7.PaperID证件号码String个人证书和工作人员证书填身份证号码、军官证、护照或其他；机构证书和设备证书填组织机构代码、工商营业执照、税务登记证或其他。8.ProvinceName省份名称String省份名称必须有9.LocalityName城市名称String城市名称必须有10.UnitName单位名称String单位名称必须有11.DepartmentName部门名称String部门名称12.PostalAddress邮政地址YString邮政地址13.PostalCode邮政编码YString应为6位数字14.AgentMan联系人YString联系人15.TelephoneNumber用户电话号码YString单位证书时，应为单位的固定电话16.Fax用户传真号码YString用户传真号码17.E_mail用户电子邮件YString可选项，单位证书时，与经办人信息一致。18.MobileTelephone用户手机号码YString可选项，单位证书时，与经办人信息一致。19.EncCertData加密证书YString用户证书，BASE64编码（加密证书和签名证书不能同时为空！）20.SignCertData签名证书YString用户证书，BASE64编码（加密证书和签名证书不能同时为空！）21.TransName经办人姓名YString单位证书时，非空22.TransTel经办人电话YString单位证书时，非空23.TransEmail经办人电子邮件YString单位证书时，非空24.TransMobile经办人手机号码YString单位证书时，非空25.TransPertype经办人证件类型YString身份证：SF军官证：JG护照：HZ回乡证：HX其他：QT26.TransPaperID经办人证件号码YString填身份证号码、军官证、护照或其他证件号码27.TradeTimeCA系统提交数据时间NStringCA系统提交时间，格式如:20071120133456表 2 证书同步接口返回值说明表序号属性属性名称是否为空数据类型1.ErrorCode返回代码0：成功，其他值：失败（值为错误号）EC301：验证数据签名失败EC302：检查用户录入数据完整性错误EC303：该用户发放数据已经同步成功EC520：保存数据出现异常2.Time业务系统交易时间N返回给CA系统,格式如：200711201334563.strRetSignValue签名值N接收端对返回代码ErrorCode和时间Time的数据组合进行的数字签名。签名原文的数据格式是：ErrorCode +“，”+ Time证书信息同步接口XML格式定义如下：注：下文中的所有“CAURL”代表电子认证服务机构的服务网站URL，如。 string string string string stringstring string string string string string string string string string string string string string string string string string string string string string string string string HTTP/1.1 200 OKContent-Type: text/xml; charset=utf-8Content-Length: length string string string 4.2 黑名单信息同步接口函数原型：public string CrlInfoSyn(CCrlInfo crlrinfo, string strSignValue)功能描述：CA系统调用该接口，将黑名单数据同步到卫生部数字证书服务管理系统。输入参数：CCrlInfo：黑名单数据，具体内容见表3说明；strSignValue：使用CA系统服务器证书对CCrlInfo域的数据进行的数字签名，数据原文采用XML数据标准，示例代码CreateXML.java见附录。签名算法采用sha1RSA，数字签名的数据格式为BASE64编码格式。返回值：见表4说明。表3 黑名单信息表序号属性属性名称是否为空数据类型备注1.CaNameCA身份标识NString电子认证服务机构身份标识，由卫生部数字证书服务管理系统统一分配。2.CrlNameCRL别名NString针对一个CA机构下多个CA证书链，对应多个CRL文件，通过CRLName进行区分。CRLName参数可使用CRL颁发者的通用名（即CN）。3.CrlData本次传输的黑名单数据NString黑名单（BASE64编码）(最大不超过400K)4.Num传输序号NString不大于allNum5.allNum传输的总次数NString6.TradeTimeCA系统交易时间NStringCA系统提交时间，格式如:20100520133456表 4 黑名单同步接口返回值表序号属性属性名称是否为空数据类型备注1.ErrorCode错误代码String0：成功；其他值：失败错误代码如下：EC301：验证数据签名失败EC302：该黑名单已经同步成功EC303：保存数据出现异常EC304：超时2.TradeEndTime数据同步完成时间NString返回给CA系统,格式为YYMMDDHHMMSSZ，如：201005201334563.strRetSignValue返回的签名子NString接收端对返回数据的签名值（Base64编码）。原文数据格式：ErrorCode+“，”+TradeEndTime。黑名单信息接口XML格式定义如下： string string string string string string string string string HTTP/1.1 200 OKContent-Type: text/xml; charset=utf-8Content-Length: length string string string 4.3 查询证书信息接口函数原型：public CCertInfo GetSingleCertInfo(string paperType,string paperID, string commonName, string caName, string strSignValue)功能描述：CA系统调用该接口，获取该证书是否存在的详细信息。输入参数：paperType：证件类型；paperID：证件号码；commonName：用户姓名或单位名称，该内容为签发的证书主题名称；caName: 由卫生部数字证书服务管理系统统一分配strSignValue：使用CA系统服务器证书对三个参数的数据进行的数字签名，数据原文采用XML数据标准，示例代码CreateXML.java见附录。签名算法采用sha1RSA，数字签名的数据格式为BASE64编码格式。返回值：见表5说明。表5查询证书信息接口返回值表序号属性属性名称是否为空数据类型备注1.CaName证书的颁发者NString颁发者（电子认证服务机构身份标识，由卫生部数字证书服务管理系统统一分配）2.CommonName证书主体NString用户姓名或单位名称，该内容为签发的证书主题名称3.PaperType证件类型NString组织机构代码：JJ工商营业执照：GS税务登记证：SW身份证：SF军官证：JG护照：HZ回乡证：HX其他：QT4.PaperID证件号码NString个人证书和工作人员证书填身份证号码、军官证、护照或其他；机构证书和设备证书填组织机构代码、工商营业执照、税务登记证或其他。5.BeginDate开始日期NString证书有效期的开始日期6.EndDate截止日期NString证书有效期的截止日期7.CertType证书类型String工作人员证书：G；内部机构证书：U；内部设备证书：S外部个人证书：P外部机构证书：J外部设备证书：W8.UserId用户实体唯一标识NStringCA系统中的用户ID号，即证书实体唯一标识9.TradeTimeCA系统提交数据时间NStringCA系统提交时间，格式如:201005201334561