GDCA_V4.0版数字证书接入指导书_DOTNET

1、GDCA V3.10版数字证书接入指导书1. CA接入整体架构图安全应用支撑平台网络应用服务器客户端后安全服务中间件（n 数字证书1.1. 架构说明应用系统接入GDCA安全应用支撑平台需要具备如下条件:1.1.1. 客户端客户端部件部件名称说明硬件USBkey存放数字证书的硬件介质软件客户端中间件（适用操作系统：windows系列）包含如卜部分：1使用数字证书的安全接口；2数字证书介质的驱动；1.1.1.1. 客户端部件获取方式USBkey:需与GDCA销售人员联系申请客户端中间件：请到网站下客户端驱动（请注意版本号， 下载最新版本使用）。安装前请先查看客户端安装演示程序1.1.1.2. 部件

2、说明USBkey:存放数字证书和密钥的存储介质，该硬件介质拥有唯一的用户 PIN 码，该PIN只和USBkey硬件介质有关联（如同银行卡的密码），要使用 USBkey的密钥必须要通过中间接口的login函数进行登陆。USBkey允许6 次PIN输入错误，超过6次PIN输入错误后USBkey将锁死（USBkey锁死 后需要GDCA进行解锁才能继续使用）。客户端中间件：是一个访问USBkey和实现各种安全功能的接口程序，以com 控件的形式提供，通过页面的javascript进行调用接口。1.1.2. 服务器端服务器端部件部件名称说明硬件安全应用支撑服务器存放服务器端证书和密钥，提供安全服务；软件

3、服务器端中间件（适用操作系统：windows >linux、AIX、HP_unix）包含如卜部分：1服务器使用数字证书的安全接口（主要包含java接口和C接口）；2安全应用支撑服务器的底层dll ;1.1.2.1. 服务器端部件获取方式安全应用支撑服务器：目前GDCA在互联网上提供了一台安全应用支撑服务器用于应用系统开发商的调试和测试。IP地址为：61.142.239.77该服务器通过TCP 6006和8931两个端口对外提供服务。服务器端中间件：需与GDCA技术人员联系获取。1.1.2.2. 部件说明安全应用支撑服务器：该服务器与客户端使用的USBkey具备同样的地位， 功能主要是存储

4、服务器端的数字证书和密钥，并提供密码运算服务，只不过该设 备是用 TCP/IP 协议访问，具备并发处理能力，而客户端的 USBkey 是通过 USB 接口访问，单一线程访问。服务器端中间件 ： 是一个访问安全应用支撑服务器和实现各种安全功能的接口程序， 以 C 接口和 jar 包形式提供， 通过应用系统自身服务器端程序调用。1.2. 开发环境搭建1. 服务器端环境搭建服务器端环境搭建前， 请先确认服务器端与GDCA 互联网提供的安全应用支撑服务器的网络联通性，请按下面三个步骤确认；a） ping 61.142.239.77 （确定网络是否联通）；b） telnet61.142.239.7760

5、06（确定6006端口是否能访问）；c） telnet61.142.239.778931（确定8931 端口是否能访问）；如果您的服务器端联调安全应用支撑服务器存在问题，请与您所属网络的网络工程师联系开通相关的网络资源和端口。服务器端环境安装完成后请使用服务器端环境测试程序 （在附件中）进行测试，确定服务器端环境安装成功。服务器端详细的安装配置过程请见附件中服务端安装演示程序 。2. 客户端环境搭建客户端环境安装完成后请使用 客户端环境测试程序 （在附件中） 进行测试，确定客户端环境安装成功。客户端详细的安装配置过程请见附件中客户端安装演示程序 。2. 安全功能开发实现GDCA 安全应用支撑平

6、台实现的主要安全功能有：身份认证、数字加密、数字签名。下面将对这些功能的实现过程进行详细描述。注：以下流程均参照附件中的完整demo 程序进行描述，请参招 demo和流程进行开发实现。2.1. 身份认证实现I L至取用户证四2也通用证书I2P J GDCALoginl.aspxxsJ；加；I也于 GBC ALogin L 口 !-r<x$ rE MHi iMI -Ma MBJta >3生证用广肝甘仃效性4.4与24P劭机仪6客户枭4的机以签名J JGDCALoiiin2,hirn Ji hi5.接应用户基用让K.随机教工也速加机於用苏招俏d*1,.' . f.i IX

7、9;A E .41L： i 112 .0 spx .cs .、h!i抉取用户证书的唯一标识KI IOJ1JLEIW 美欧松限，判定及否能注Mi 2.1.1. 流程详细说明1 .动态加载COM组件，初始化客户端，用户输入 PIN码，读取用户证书并 验证证书是否过期。(GDCALoginl.aspx)2 .将用户证书传递给服务器端。(GDCALoginl.aspx)3 .服务器端验证用户证书有效性。(GDCALogin1.aspx.cs)4 .服务器端产生24位随机数用作数字签名验证。(GDCALogin1.aspx.cs)5 .获取服务器端传来的用户签名证书和随机数。(GDCALogin2.ht

8、m)6 .客户端使用用户签名证书对随机数进行签名。(GDCALogin2.htm)7 .传递随机数和签名值到服务器端。(GDCALogin2.htm )8 .服务器端验证随机数签名值。(GDCALogin2.aspx.cs)9,获取用户签名证书中的唯一标识，即信任服务号。(GDCALogin2.aspx.cs)10 .由应用绑定，通过唯一标识(信任服务号)关联权限，判断是否能登录。注：详细过程请参考例子程序执行过程2.1.3.详细程序流程图工金同用文捋职务赤iCiDCALoginl.aspx验鹏鹏书的不效性猫讶是舍通过分名映证动态如我*户痛拧仰Ac; iveXOb jccx (*A: l_co

9、n. Gdca*)对传东的签名勺进行谷名软， aj ki GW'AJIpkiVprify Uata()产”个24位的防机数产I 个24何的跖机长1 1 .|( ； 7；. GlK (ivnltin初人pmM, GMfkcy. I ! ； ,GIM A (k>： InGiKyO10()客户端切始化客。端控件(；rx ACom.(iDCA_Se<l>eviceType 0GIXACom.GlKA_lnitializc<)GlK AC uai.GiK ? 14)uin 0“断证书是否过期GDCAGctCcrTimcOI GlX ASccurc.w证书和加密证书)GD：

10、'ACom.GrX A_Rc<idI.abcl ()客户苑向应用服务费发小登Ri系统访求.沛东个笥机数，并付诩用户讦书般证FIJ尸证I，的书效住Lcka.Cla .GDCA.Vorif yCcri发送24傥射机数给客户端进行经名将随机数在Z倒传速到限务稔潴fGDCALogin：供取用户笈名证书依任眼务号根弼密码机的3讦书进行的近济求产半个24位的机数2.2. 数据加密/签名实现2.2.1. 流程图王传遹川户证h *名生或如家歌丸和nn«b;小田七工艮分器施热孑餐片I悭 J -Hnc AndSigDaia, a$px,c56.思辨注验证客户端用名W I EiKAiJdyk

11、Djlu.jtspx4；我行罂端解密5解外线局加密'>1N在客户端进行数字拉名和胞参加密*i1. 1取s齐器端加常讦. n和用户警名证书>ss- .» «»da -n BBB M _, «»«» =" H" ,a . « » MSB «« f，"于 DijiplayEiKAmjSiFRGult.HspxIH.佳逋圈旁佛蟾加密后的数辅卜1口,也客户添丑行*守解密|iE装一格签名2.2.2.流程详细说明我似史亚莠器瑞蟆於上抬之俏利唬文微米1

12、 .动态加载COM组件，初始化客户端，登录 KEY,获取服务器端加密证 书和用户证书，分别用作客户端数字加密和数字签名。(EncAndSigData.aspX)2 .对收集的数据进行BASE64位编码，在客户端进行数字加密和数字签名。(EncAndSigData.aspX)3 .传递用户证书、签名值或加密数据、源数据到服务器端。(EncAndSigData.aspX)4 .服务器端对客户端加密数据进行解密。(EncAndSigData.aspx.c95 .服务器端对上述步骤解密后的数据进行服务器端加密，需使用客户端加密证书。(EncAndSigData.aspx.c96.服务器端根据签名值、用

13、户证书验证签名(EncAndSigData.aspx.c97服务器端对原文数据进行服务器端签名。( EncAndSigData.aspx.cs)8将服务器端加密后的数据传递给客户端。( DisplayEncAndSigResult.aspx)9将服务器端签名证书、签名值和原文数据传递给客户端。( DisplayEncAndSigResult.aspx)10动态加载COM 组件，初始化客户端，登录 KEY ，在客户端对服务器端加密数据进行解密， 对解密后的数据进行BASE64 位解码转换为可读的明文， 展现在页面，用作前后数据的比较。( DisplayEncAndSigResult.aspx)1

14、1 动态加载COM 组件，初始化客户端，登录 KEY ，在客户端使用服务器端签名证书和原文数据对签名值进行验签，验签成功后将原文数据展现在页面，用作前后数据的比较。( DisplayEncAndSigResult.aspx)注：详细过程请参考例子程序执行过程2.2.3. 详细程序流程图2.3. 用户权限关联每张用户的数字证书都含有一个唯一标识（信任服务号），该标识存在于 数字证书的扩展信息项中，数字证书更新后该标识会保持不变。该标识可以 通过客户端和服务器端的中间件接口进行获取。结合数字证书的应用系统需要将信任服务号与应用系统的权限进行关联（即：使用信任服务号取代用户名和密码），应用系统中用户

15、权限控制通过 数字证书的信任服务号完成。在本文档提供的例子程序中,当身份认证过程完成后会解析数字证书的 信任服务号并保存在服务器端的session中,开发过程可以通过获取该session 的值来关联用户权限。当然，应用系统的数据库中要在用户权限表中增加信 任服务号的字段用于存放授权用户的信任服务号。用户权限表中的信任服务号的增、删、改、查可在应用系统的权限管理模块中完成。可通过本文档提 供的获取信任服务号例子完成新用户证书的授权。3.附件3.1. 客户端安装演示程序客户安装演示程序.exe3.1.1. 程序客户端安装演示程序3.1.2. 使用说明点击“客户端安装演示程序.exe”就能观看演示。

16、3.2. 客户端环境测试程序3.2.1. 程序客户端环境测试程序客户端环境泅试程Jp-rar3.2.2. 使用说明1 .解压“客户端环境测试程序.rar”2 .双击 TestAll3.02 (Normal) .html3 .点击IE顶部提示栏，如下图：Q为帮助保护您的安全，工ntermt Explorer已经限制此文件显示可能访问您的计算机的活动内容.单击此处查看选项. 选择“允许阻止的内容”，如果弹出安全警报，选择“是”。4 .插入 USBKey5 .按照页面上的步骤逐步操作，先执行页面第1步初始化，点击Act iveXInit6 .弹出成功提示后，执行页面第2步，输入PIN码后点击工口gm

17、：7 .登录成功后，执行页面第3步，选择需获取的用户证书，点击GetCertDataJ8 .进行页面第4步加密解密测试，在“明文”框随意输入明文，选择“加 密算法”，点击匚工!位远巫二进行测试9 .进行页面第5步签名验签测试，在“明文”处随意输入明文，选择“哈希算法"点击I "式加0仃3匚|进行测试10 .执行页面第6步，验证用户证书，点击 匚叵!叵亘二I进行测试11 .执行页面第7步，获取keyid,点击获得二二、12 .执行页面第8步，登出，点击回巴匚13 .执行页面第9步，清除工作，点击 -nd14 .以上操作都正常通过即可完成客户端环境测试，表示客户端环境安装完成。

18、3.3. 服务端安装演示程序3.3.1.程序3.3.1.1. WINDOWS 环境WINDOWS版服务器端安装演示程序CDCA度势圈卡安装中间件V4一 0安装视懒示一 exe3.3.1.2. LINUX 环境按照压缩包里的readme.txt文件指引安装： 同 LINUX环境服务器端安装包 UNU珏喇蝴端安装低rar3.3.2.使用说明3.3.2.1. WINDOWS 环境点击“WINDOWS版服务器端安装演示程序.exe”就能观看WINDOWS环境 下服务器端安装演示。注意：卸载时需选择“定制”，全选所有的文件卸载，切勿使用“自动”卸载。若卸载不完全，则下次安装时会提示缺少 MSVCRTD.

19、dll或者easysoap.dll 等文件，此时可手动清除 windows/system32下所有带有gdca前缀的文件， 然后再次安装。3.3.2.2. LINUX 环境按照安装包里的readme.txt指引操作即可。3.4. 服务器端环境测试程序3.4.1. 程序 S服务命端环境测试程序PkiLesLm3.4.2. 使用说明1 .确保机器已安装JDK1.3或以上版本。2 .设置JAVA变量环境，windows在环境变量中PATH项添加JDK的bin目 录所在位置，linux 在/etc/profile 文件中加入 export PATH=$PATH:jdk 具 体到bin的目录,然后通过s

20、ource/etc/profile使之生效。或者直接通过 java的绝对路径进行编译，则可跳过此步骤。3 .解压pkitest测试程序4 .通过cmd进入命令行模式（windows环境），通过cd命令进入pkitest文 件夹目录下。5 .键入setEnv.bat设置测试程序所需的环境变量，回车； Linux环境可以略 过此步。6 . Windows 环 境键入 java TestPsiApp,回车；Linux 环境键入 java -classpath ./gdca-app.jar:. TestPsiApp 回车。7 .当出现以下图片，则测试通过：II;Gl>CACApkitastTes

21、tPsiAppGdcaLib- Inad GDCA jni library successfile neirong=ZGRkZGRZ：GRkZGRkZGRkZGHkZGRk2：CRkZGRk2：GRkZGRkZGQ=AduBeadFronFile OKAduWriteToFile OKAduBAse64EncDde OK仆duRa洋号口de OKCompare Data Ok?/H MtH-M-H J4-M-KM-M K* 航关期密码服 证书，叫试 Be If in* M*-M MMtH-H-K-M N-KM-M-KM-M M/保密证书uutCert =MIIDTjCCAregAuIBAgil

22、P7rUogAAnEnuD4VJDZlivcNAQEFBQAwbUxDTRLfigNU BfiVeBEt U</0xDEAHBgHUBA9eB15/Thx3ATEPriA0GAlUEBx4GUldcdl4CriRMwEQVDUQQKH9«AUuBUAEIAiNAAzMB8u HQVDUQQLHh£tB6nE2Ti'plNUtQi8FOZouki8FOLU/DMUuuIQVDUQQDHhoAUuBZAFrAUsFBFAE8AUABf AFhA QBCftDAAHsAnBgNUBAI1efABSAE8ATuBUAEMAQQAuADAAHARuADAArfAAuAD

23、AAHQRzl1B4DTAzriTExOTA9 HjUzOFoXDIAlMTExOTAyMjUzOFQWHCSxDTALByNUBAVeBEtUvBxDzANBsHUBAeBlS/ThxATEPIIAOG AlUEBx4GTltccU4CMRcuF4VDUQQ!(Hg4AUABAftFgALgBJAG8AbTEXHBUGAlUECx40ADAAMAAuADAAMAAu DAxY2ni>BHUBAheIABUAFMARQBSftEkARAAMADAAMAADAANQHDQAMAA3MA8GAlUEAx4IbUuLlVvD mY u J 蚓Y DU QQDH i* R MA R w* DR

24、RMR R mR D ER Mg A w R DQA NQH 2 A De R OR A 5 R DR H HDCHn w 白 NBg kqhk iG9 wWBR QEF R A OBJQA uV kCgV EAoKSA KFRU xQn>7f y72f U9FVUeswo/¥DoFpS *<j BdCu40RuuU MhQ8 qxRF4KGd E39uwSL ulalhEo&3UC+UdU9ui/15EBF3NTZ3X2KBUpbbT9P3d60UnwKb9xkHwNt8£0gXSS6KRlbo JN+gJKKKUKU fdn?D9tKQ9ccea7B

25、IUCU8iisELH0CftwEAftaNSMFAwilQ¥BUR0OBB¥EFEFMuBp4B3iW+FcJQ9?UZrMNayTf MA4GAlUdDuEB/uQEA wl FI DAf BgNU H S MEGD A Ug BQk <jP6 VENlQSHFKcosh8 auo If 6H JJANBkqhkiG+uDB AQUFAAOBQAU6DxNZuTGyKsdhfA5hlGSKOfRRnh6#phUIUtuJUIFJfBQdOAVfAFo<tm!/LndfrR+408uH AFNHiuE9audAqHJ911 jI»ucMLuGFp99

26、JGHgBp3eU5uDLNezlRun8kqClCcuP+bxa6HIFDPhp6QxgabnE +iJUGuJpUDN9HMOeH51U5w陶名证书cutCert =HII DTjCCAvegAuIBAgI I P7pUoQAAAU8uDQV JKoZI hu c NftQEF BQ A ugbU xDT A LBgNU BAVeBE4t UWxMANRgNUR的eEIVTIi心口 TEPH白 gCnUEBMCUicUdlMMRMwEOYDUQQKHg。a MRU 自 EIAMAAnHRBb HqyDUQQLHhaB6nE2TrplNUtQi8FOEQux8FOLU/DMUwIQVDUQQ

27、D«hoAUwBZAFMAUBFftE8fiUABfAFMA UQBCADAAdzAnBgNUBAI1eIABSAE8ATuBUAEMAQQAuADAAI1AAuADAAMAAuADAAMQAzl1B4XDIA2MTExOTAij njU2OFoXDTALHIExOTft9KjUzOFowgcgxDrftLBgNUBft?eBE4tUv0xDzANBgHUBAdeB15/Thx3ATEPMA0G lUEBx4GTltccU4CMRcuFQYDUQQKHAUABAAFaALgBjAG8AbTEXKBUGAlUECx40ADAAMAAuADAAI1APiu ADAxVzAnBgNUBAM

28、eIABUAFMABQBSAEkARAAuADAAI1AAwRDAAriQRi/ADQAHAA3riA8GAlUEAx4IbUuLlVvB TnVuJuVVUQQDHiAAMAAuADnAMAA<7ADEftMftzADQAHQA2ADcAOAA5ADAAMDCBn2ANDkqhkiG9w0BAQEF fifiOBjQAwg¥kCg¥EfirCt4UdMFf 1U +u +rtnj/EbKhT n D hM2 CpMSqRLkRLS o p4ggmU FH S 5 d Co B08 kE8 EtJDG LzrD4r?2qN98+uZw£KnuxWy(i+sZ

29、rUlBkTP+lDw¥(MzaETn7keSC9112Fiiik6CxXabfl+11jS35ntuU/pi+(i；：2：rIHl!t*73qN98+u/wEKAuxWijq+sEdJiTF+lDwY0<JE：aETn7ke&C9112F6Cxii*bA*MjS35nCuU/i*i*q tM3v>jWgHexz</RAtriB+xzBzji/ECAuEAAaNSMFAuHQVDURG0BBVEFDHj7zGuHUy+ULAi8FZZZ14u6puN 4GAlUdDuES/uQEAwIGwDA£BgHUHSMEGDAUgBQkvP6VEMIQSMf

30、Kcosh8auol£6HJjANBgk4hkiG9u0B nQUFftAOBgQAZu/lRZ/uCqdRffiikUjQn)zluUBEDVn11uanTn0r2b3zGuB5pin3uuIsqlKlzUttq58f8EZlu PK115 Z¥ mFhD79 wU ? +dft x6 kBw+s s 2 s T lWbZra¥ IX1 JDSgCCRmhnQGCvGeZJX luG 6 4q?L9 d0n4R7ds t Qu 7g djUFJhFoVfJkL0SFBll/6A"-certlnfo=3FBAD4AlB0001&F读取密码 服务证

31、二,淤怯 End八 XKXXXKMMKMXKKXxB 器端验证客户 hi证书冽试 Beg inAduCheckCert OKhduSealEnuelope OKAduOpenEnuelope OK3mgl'e Data Ok，)T he outData is ； MI I BruV JKaZI hucNAQcCMI I Bq A f BAT ANMQsGCSciGS I bSDQEBBAQ JZGRkZGRkZ：GR 3ZGRkZGRkZGRkZGRkZGRkZGRkZGRkZGRkZGQxggFlMIl BVQI BA T CBu J CBt T ENM A s G A1U E Bh

32、4 ET ilW/TE Tn0GAlUECBGXn9OHHcEMQ8vDqVDUQQHHgZTU213XglxEzARBgNUBAoeCBinFUnQgAwADMxHzAdB9H UEAseFoHqcTZOunUlUlCLvjU5<ii6SLuU4tK8MxTDAhBgNUBAMeGgBTAFkAUuBSAE8ATuBUAF8AUuBUAEI AMRAzMCcGAlUEAx4gAFIATuBPAF4ftQwBDAAMAAADAAMAAMADAftMAAxRDHCCD+GlKEAAAFu£igkqhki G9ugBAQQGCSQGSIb3DQEEAQSBGKnM6Z4GEriaTr9rHUs9pKcp9AtxeqRFQI6K6xuriZdA3BU8xUuB+BJ3 zu4ZOtn£3VluGhHuul5DBiT)3307SxpS7RU</hQLu</QklGGhJiSeqjeCdRkl9uiDovDBbdSHEeAeuifE&USu f 9pmft6 is +N8 h72HSP I umMwSl igS/y?TKihD+ePure flduSignData OKPure AduUei*ifySign OKhduG野nRandom OKfiduSyniniEnci'ijpt OK + encda.ta _ len =4SnduS