GDCAV40版数字证书接入指导书DOTNET.doc

GDCAV40版数字证书接入指导书DOTNET GDCA_V3.10版数字证书接入指导书1.CA接入整体架构图应用服务器安全应用支撑服务器客户端网络安全服务中间件数字证书安全应用支撑平台客户端客户端网络网络1.1.架构说明应用系统接入GDCA安全应用支撑平台需要具备如下条件1.1.1.客户端客户端部件部件名称说明硬件USBkey存放数字证书的硬件介质软件客户端中间件(适用操作系统windows系列)包含如下部分1使用数字证书的安全接口；2数字证书介质的驱动；1.1.1.1.客户端部件获取方式USBkey:需与GDCA销售人员联系申请。 客户端中间件请到.gdca.网站下客户端驱动（请注意版本号，下载最新版本使用）。 安装前请先查看客户端安装演示程序1.1.1.2.部件说明USBkey存放数字证书和密钥的存储介质，该硬件介质拥有唯一的用户PIN码，该PIN只和USBkey硬件介质有关联（如同银行卡的密码），要使用USBkey的密钥必须要通过中间接口的login函数进行登陆。 USBkey允许6次PIN输入错误，超过6次PIN输入错误后USBkey将锁死（USBkey锁死后需要GDCA进行解锁才能继续使用）。 客户端中间件是一个访问USBkey和实现各种安全功能的接口程序，以控件的形式提供，通过页面的javascript进行调用接口。 1.1.2.服务器端服务器端部件部件名称说明硬件安全应用支撑服务器存放服务器端证书和密钥，提供安全服务；软件服务器端中间件(适用操作系统windows、linux、AIX、HP_unix)包含如下部分1服务器使用数字证书的安全接口（主要包含java接口和C接口）；2安全应用支撑服务器的底层dll；1.1.2.1.服务器端部件获取方式安全应用支撑服务器目前GDCA在互联网上提供了一台安全应用支撑服务器用于应用系统开发商的调试和测试。 IP地址为61.142.239.77该服务器通过TCP6006和8931两个端口对外提供服务。 服务器端中间件:需与GDCA技术人员联系获取。 1.1.2.2.部件说明安全应用支撑服务器该服务器与客户端使用的USBkey具备同样的地位，功能主要是存储服务器端的数字证书和密钥，并提供密码运算服务，只不过该设备是用TCP/IP协议访问，具备并发处理能力，而客户端的USBkey是通过USB接口访问，单一线程访问。 服务器端中间件是一个访问安全应用支撑服务器和实现各种安全功能的接口程序，以C接口和jar包形式提供，通过应用系统自身服务器端程序调用。 1.2.开发环境搭建1.服务器端环境搭建服务器端环境搭建前，请先确认服务器端与GDCA互联网提供的安全应用支撑服务器的网络联通性，请按下面三个步骤确认；a)ping61.142.239.77(确定网络是否联通)；b)tel61.142.239.776006(确定6006端口是否能访问)；c)tel61.142.239.778931(确定8931端口是否能访问)；如果您的服务器端联调安全应用支撑服务器存在问题，请与您所属网络的网络工程师联系开通相关的网络资源和端口。 服务器端环境安装完成后请使用服务器端环境测试程序（在附件中）进行测试，确定服务器端环境安装成功。 服务器端详细的安装配置过程请见附件中服务端安装演示程序。 2.客户端环境搭建客户端环境安装完成后请使用客户端环境测试程序（在附件中）进行测试，确定客户端环境安装成功。 客户端详细的安装配置过程请见附件中客户端安装演示程序。 2.安全功能开发实现GDCA安全应用支撑平台实现的主要安全功能有身份认证、数字加密、数字签名。 下面将对这些功能的实现过程进行详细描述。 注以下流程均参照附件中的完整demo程序进行描述，请参招demo和流程进行开发实现。 2.1.身份认证实现2.1.1.流程图2.1.2.流程详细说明1动态加载组件，初始化客户端，用户输入PIN码，读取用户证书并验证证书是否过期。 （GDCALogin1.aspx）2将用户证书传递给服务器端。 （GDCALogin1.aspx）3服务器端验证用户证书有效性。 （GDCALogin1.aspx.cs）4服务器端产生24位随机数用作数字签名验证。 （GDCALogin1.aspx.cs）5获取服务器端传来的用户签名证书和随机数。 （GDCALogin2.htm）6客户端使用用户签名证书对随机数进行签名。 （GDCALogin2.htm）7传递随机数和签名值到服务器端。 （GDCALogin2.htm）8服务器端验证随机数签名值。 （GDCALogin2.aspx.cs）9获取用户签名证书中的唯一标识，即信任服务号。 （GDCALogin2.aspx.cs）10由应用绑定，通过唯一标识（信任服务号）关联权限，判断是否能登录。 注详细过程请参考例子程序执行过程2.1.3.详细程序流程图2.2.数据加密/签名实现2.2.1.流程图2.2.2.流程详细说明1动态加载组件，初始化客户端，登录KEY，获取服务器端加密证书和用户证书，分别用作客户端数字加密和数字签名。 （EncAndSigData.aspx）2对收集的数据进行BASE64位编码，在客户端进行数字加密和数字签名。 （EncAndSigData.aspx）3传递用户证书、签名值或加密数据、源数据到服务器端。 （EncAndSigData.aspx）4服务器端对客户端加密数据进行解密。 （EncAndSigData.aspx.cs）5服务器端对上述步骤解密后的数据进行服务器端加密，需使用客户端加密证书。 （EncAndSigData.aspx.cs）6服务器端根据签名值、用户证书验证签名。 （EncAndSigData.aspx.cs）7服务器端对原文数据进行服务器端签名。 （EncAndSigData.aspx.cs）8将服务器端加密后的数据传递给客户端。 （DisplayEncAndSigResult.aspx）9将服务器端签名证书、签名值和原文数据传递给客户端。 （DisplayEncAndSigResult.aspx）10动态加载组件，初始化客户端，登录KEY，在客户端对服务器端加密数据进行解密，对解密后的数据进行BASE64位解码转换为可读的明文，展现在页面，用作前后数据的比较。 （DisplayEncAndSigResult.aspx）11动态加载组件，初始化客户端，登录KEY，在客户端使用服务器端签名证书和原文数据对签名值进行验签，验签成功后将原文数据展现在页面，用作前后数据的比较。 （DisplayEncAndSigResult.aspx）注详细过程请参考例子程序执行过程2.2.3.详细程序流程图2.3.用户权限关联每张用户的数字证书都含有一个唯一标识（信任服务号），该标识存在于数字证书的扩展信息项中，数字证书更新后该标识会保持不变。 该标识可以通过客户端和服务器端的中间件接口进行获取。 结合数字证书的应用系统需要将信任服务号与应用系统的权限进行关联（即使用信任服务号取代用户名和密码），应用系统中用户权限控制通过数字证书的信任服务号完成。 在本文档提供的例子程序中，当身份认证过程完成后会解析数字证书的信任服务号并保存在服务器端的session中，开发过程可以通过获取该session的值来关联用户权限。 当然，应用系统的数据库中要在用户权限表中增加信任服务号的字段用于存放授权用户的信任服务号。 用户权限表中的信任服务号的增、删、改、查可在应用系统的权限管理模块中完成。 可通过本文档提供的获取信任服务号例子完成新用户证书的授权。 3.附件3.1.客户端安装演示程序3.1.1.程序客户端安装演示程序3.1.2.使用说明点击“客户端安装演示程序.exe”就能观看演示。 3.2.客户端环境测试程序3.2.1.程序客户端环境测试程序3.2.2.使用说明1.解压“客户端环境测试程序.rar”2.双击TestAll3.02（Normal）.html3.点击IE顶部提示栏，如下图选择“允许阻止的内容”，如果弹出安全警报，选择“是”。 4.插入USBKey5.按照页面上的步骤逐步操作，先执行页面第1步初始化，点击6.弹出成功提示后，执行页面第2步，输入PIN码后点击7.登录成功后，执行页面第3步，选择需获取的用户证书，点击8.进行页面第4步加密解密测试，在“明文”框随意输入明文，选择“加密算法”，点击进行测试9.进行页面第5步签名验签测试，在“明文”处随意输入明文，选择“哈希算法”点击进行测试10.执行页面第6步，验证用户证书，点击进行测试11.执行页面第7步，获取keyid，点击12.执行页面第8步，登出，点击13.执行页面第9步，清除工作，点击14.以上操作都正常通过即可完成客户端环境测试，表示客户端环境安装完成。 3.3.服务端安装演示程序3.3.1.程序3.3.1.1.WINDOWS环境WINDOWS版服务器端安装演示程序3.3.1.2.LINUX环境按照压缩包里的readme.txt文件指引安装LINUX环境服务器端安装包3.3.2.使用说明3.3.2.1.WINDOWS环境点击“WINDOWS版服务器端安装演示程序.exe”就能观看WINDOWS环境下服务器端安装演示。 注意卸载时需选择“定制”，全选所有的文件卸载，切勿使用“自动”卸载。 若卸载不完全，则下次安装时会提示缺少MSVCRTD.dll或者easysoap.dll等文件，此时可手动清除windows/system32下所有带有gdca前缀的文件，然后再次安装。 3.3.2.2.LINUX环境按照安装包里的readme.txt指引操作即可。 3.4.服务器端环境测试程序3.4.1.程序服务器端环境测试程序3.4.2.使用说明1.确保机器已安装JDK1.3或以上版本。 2.设置JAVA变量环境，windows在环境变量中PATH项添加JDK的bin目录所在位置，linux在/etc/profile文件中加入export PATH=$PATH:jdk具体到bin的目录，然后通过source/etc/profile使之生效。 或者直接通过java的绝对路径进行编译，则可跳过此步骤。 3.解压pkitest测试程序4.通过cmd进入命令行模式（windows环境），通过cd命令进入pkitest文件夹目录下。 5.键入setEnv.bat设置测试程序所需的环境变量，回车；Linux环境可以略过此步。 6.Windows环境键入java TestPsiApp，回车；Linux环境键入javaclasspath./gdca-app.jar:.TestPsiApp，回车。 7.当出现以下图片，则测试通过3.5.完整demo程序3.5.1.程序DOTNET版身份认证、数字签名与数字加密例子程序定时检查Key连接状态修改PIN码测试程序证书信息获取3.5.2.使用说明3.5.2.1.DOTNET版身份认证、数字签名与数字加密测试文件名称文件描述Gdca_Class.cs调用GDCA相关dll文件C接口的函数，提供给.程序开发使用，不必修改GDCASecure.js提供页面调用的javascript函数，大部分已经在页面上实现App.js提供页面调用的javascript工具类函数，全部已在页面上实现，可以不必包含GDCALogin1.aspx身份认证登陆界面GDCALogin1.aspx.cs身份认证后台处理，第一次与服务器握手GDCALogin2.htm第一次握手结束后回传客户端，准备第二次握手GDCALogin2.aspx.cs服务端第二次握手，完成身份认证，获取信任服务号作为用户身份关联的唯一标识符EncAndSigData.aspx进入数字加密和数字签名页面，进行客户端操作EncAndSigData.aspx.cs数字加密解密和数字签名验签服务器端处理DisplayEncAndSigResult.aspx数字加密解密和数字签名验签结果显示，进行客户端操作3.5.2.2.定时检查Key连接状态文件名称文件描述定时检查Key连接状态.html定时检查Key连接状态的程序代码3.5.2.3.修改pin码测试程序文件名称文件描述js文件包包含所需各类js文件修改PIN码.htm修改PIN码的程序代码