用友NC安全解决方案

东方中讯数字证书认证有限公司用友用友NC用友用友NC安全解决方案 目录东方中讯数字证书认证有限公司东方中讯数字证书认证有限公司目录TOC\o"1-5"\h\z前言 1应用安全需求概述 1\o"CurrentDocument"用友NC实现功能 2\o"CurrentDocument"CA应用需求 2\o"CurrentDocument"VPN安全应用需求 4\o"CurrentDocument"法律需求一电子签名法 5\o"CurrentDocument"241相关概念 5\o"CurrentDocument"相关规定 6\o"CurrentDocument"法律效益 7CA安全解决方案 7\o"CurrentDocument"总体架构 7\o"CurrentDocument"托管服务模式 9\o"CurrentDocument"网络架构 10\o"CurrentDocument"CA系统工作流程设计 11\o"CurrentDocument"CA系统实施部署流程 14\o"CurrentDocument"托管模式意义 14CA技术与 VPN相结合 15\o"CurrentDocument"VPN总体架构 15\o"CurrentDocument"VPN安全登录实现原理 16\o"CurrentDocument"VPN证书应用 17硬件RA东方中讯 RA-M 18\o"CurrentDocument"概述 18\o"CurrentDocument"产品特点 18\o"CurrentDocument"产品功能 19\o"CurrentDocument"3.5证书存储介质 19人员安全解决方案 20\o"CurrentDocument"信息部职责 20\o"CurrentDocument"各部门、分公司的职责 20\o"CurrentDocument"员工的权利与义务 20\o"CurrentDocument"证书申请流程和规范 21\o"CurrentDocument"数字证书发放模式 21\o"CurrentDocument"数字证书申请流程 22\o"CurrentDocument"鉴证审批管理规范 23\o"CurrentDocument"鉴证审批的基本原则 23\o"CurrentDocument"证书更新鉴证 24\o"CurrentDocument"证书吊销鉴证 24\o"CurrentDocument"网络管理员安全控制 25\o"CurrentDocument"网络管理员职责 25\o"CurrentDocument"NC系统人员安全管控 26NC系统层次安全架构介绍 31\o"CurrentDocument"客户端接入 31\o"CurrentDocument"传输层加密 33\o"CurrentDocument"服务器安全 33\o"CurrentDocument"数据库安全 34证书审批模式设计 35\o"CurrentDocument"手动审批 36\o"CurrentDocument"自动审批 37\o"CurrentDocument"通行码审批 39\o"CurrentDocument"集中制证模式 40CA安全认证系统工作原理 42\o"CurrentDocument"系统安全原理 42\o"CurrentDocument"系统环境要求 46证书存储方式 46\o"CurrentDocument"USBKEY 介绍 46\o"CurrentDocument"USBKEY 优点 47USBKEY 密码 48用友NC系统证书应用 4810技术支持与培训 52附件一关于东方中讯 53附件二东方中讯相关资质 57用友用友NC用友用友NC安全解决方案 第页共59页东方中讯数字证书认证有限公司东方中讯数字证书认证有限公司、尸、—

刖言用友软件是中国最大的管理软件、 ERP软件、财务软件、集团管理软件供应商之一。用友NC是用友公司面向集团型企业和高成长型企业推出的高端 ERP产品，涵盖从集中财务管理、供应链管理、集团资金管理等全面应用，全面支持企业各项经营，是集团企业协同电子商务的有效手段。用友NC与东方中讯数字PKI/CA产品和服务的整合方案，是一次强强联合。用友NC核心管理理念是“集中管理战略协同”，其中“战略协同”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而东方中讯作为专业的电子认证服务运营商和 CA产品提供商，实现了用友 NC用户多方安全协同工作，保障信息传递的机密性、保障电子化信息交互的层面上双方（多方）行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力，得到《中华人民共和国电子签名法》法律的保障。目前，用友NC系统已经成功支持东方中讯 CA产品和服务，NC系统只需简单的部署和配置，就可以实现基于数字证书的各种安全功能，保障系统高效、成功地实施。迄今为止，东方中讯PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。东方中讯以高可靠性的产品及优质的技术支持能力成为用友集团 CA认证合作伙伴，为用友NC产品保驾护航，提供全面的安全解决方案。2应用安全需求概述目前NC的默认登录方式是用户名+口令的方式，安全性不高，容易被暴力破解,当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丢失，公开或者篡改，使用户的资金系统存在着安全隐患，导致不必要的损失。2.1用友NC实现功能1、 通过NC系统的应付系统来完成支付业务的全过程管理。2、 由系统实现专项预算对支付的自动控制，超出部分不允许支付。3、 可以通过配置不同付款单的审批流程来控制各子公司的支付走款，同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。4、 子公司出纳将审批通过的付款单进行支付，如果开通了银企互联的支付功能，则可以在系统平台上直接对外支付。5、 子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证。CA应用需求由于在用户内部存在着许多支付和审批交易，不可避免的会遇到一些安全保障因素，对支付人、审批人的身份认证，可信电子签名，操作控制以及抗抵赖追等，都是集团考虑的安全要素。就用户的应用安全需求，结合用友 NC系统，东方中讯提出下面几点具体的 CA安全需求：基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术，也是现在用友 NC普遍使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问题，是攻击者最容易攻击的目标：1）它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。2） 为记忆方便，是用户往往选择简单、容易被猜测的口令，如：与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。3） 口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。关于网站安全的调查结果表明：超过 80%的安全入侵是由于用户选用了拙劣的口令而导致的。由此可以推断，大部分的入侵可以通过选择好的口令来阻止。应用系统对关键操作的控制关键操作即对数据交互的安全操作，比如在 ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输，资金系统中涉及资金的审批，供应链中的单据确认等等。主要涉及了三方面的安全风险：1） 信息的机密性：传输在客户端与 Web服务器之间的敏感、机密信息和交易数据，如客户的私隐信息等，这些数据都是保密的数据。而通过开放的互联网，有可能在传输过程中被截取，被非法用户加以利用，给用户和企业造成损失。2） 信息的完整性：在保证信息机密性的同时，还需要保证敏感数据的完整传输。通过开放的互联网，敏感数据在传输过程中很可能被恶意篡改，使得接收方不能得到完整的信息。3） 信息的不可抵赖性：是指发送信息的一方不能对自己的发送的信息进行抵赖，不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网，经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失。网上交互（交易）行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据（无论是司法取证还是内部管理追溯或者审计）。身份及资产的管理无论内部员工还是外部用户，最大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求，而且强调标识方式符合真实的社会实体要求，即虚拟身份与真实身份唯一对应。对设备等实物资产同样，无法将真实身份按角色的分配给用户会导致整个管理的混乱，信息孤岛会导致 IT的目标与企业战略和股东利益的不一致。东方中讯为用友NC提供的解决方案，能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。VPN安全应用需求随着信息化应用需求的逐步深入，企事业单位的内部应用系统往往需要向外部人员开放，方便本单位驻外地员工或者外单位人员进行业务交流，在这种需求下，越来越多的企事业单位通过VPN系统处理外部用户的业务请求，采用 VPN使外部用户可以方便的登录企业内部办公应用系统。在这种模式下，用户通过 VPN能够直接接入企业内网，为了企业内部网络安全和传输信息安全，米用何种用户认证模式，就显得尤为重要了。具体的需求如下：身份认证和访问控制： 高强度的身份认证是保障 VPN系统安全的前提，VPN系统对用户的身份认证往往采用的是“ 用户名+密码”的方式，这种口令式的用户身份认证方式降低了 VPN系统的整体安全性。机密性：在网络上传输的信息不能被窃取；数据完整性：在网络上传输的信息不能被恶意窜改；不可抵赖性：在网上提交的请求是不允许抵赖的，同时对涉及信息安全的事件，提供事后追踪、审核及统计的手段。2.4法律需求一电子签名法相关概念电子签名：是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文：是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名的表现形式：1、 附着于电子文件的手写签名的数字化图像，包括采用生物笔迹辨别法所形成的图像。2、 向收件人发出证实发送人身份的密码、计算机口令。3、 采用特定生物技术识别工具，如指纹或者虹膜透视辨别法。4、 使用非对称密码加密系统对电子记录进行加密、解密变换来实现的数字签名。电子认证服务：是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子签名人：是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。电子签名依赖方：是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名制作数据：是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据：是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。电子签名认证证书：是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。相关规定数字证书内容：《电子签名法》第二十一条电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一） 电子认证服务提供者名称；（二） 证书持有人名称；（三） 证书序列号；（四） 证书有效期；（五） 证书持有人的电子签名验证数据；（六） 电子认证服务提供者的电子签名；（七） 国务院信息产业主管部门规定的其他内容。电子认证服务机构的条件：《电子认证服务管理办法》第五条 电子认证服务机构，应当具备下列条件：（一） 具有独立的企业法人资格；（二） 从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；（三） 注册资金不低于人民币三千万元；（四） 具有固定的经营场所和满足电子认证服务要求的物理环境；（五） 具有符合国家有关安全标准的技术和设备；（六） 具有国家密码管理机构同意使用密码的证明文件；（七） 法律、行政法规规定的其他条件。法律效益立法要解决的是规定安全可靠的电子签名应当达到的标准并赋予其法律效力；而如何达到法定标准，则属于技术问题。《电子签名法》第十四条：“可靠的电子签名与手写签名或者盖章具有同等法律效力。"《电子签名法》第十三条电子签名同时符合下列条件的，视为可靠的电子签名：（一） 电子签名制作数据用于电子签名时，属于电子签名人专有；（二） 签署时电子签名制作数据仅由电子签名人控制；（三） 签署后对电子签名的任何改动能够被发现；（四） 签署后对数据电文内容和形式的任何改动能够被发现。3CA安全解决方案3.1总体架构在用友ERP的应用平台中，东方中讯 CA中心负责用户身份系统的权威数字证书管理，作为系统的基础支撑模块来完成整个可信平台的建设：PKUCA解决方案安全审批.结算支付可信交易可信电子合同屠电子票据安全审批.结算支付可信交易可信电子合同屠电子票据目前，用友NCERP已经成功集成了东方中讯的数字证书接口 ，因此，在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用东方中讯提供的数字证书服务，系统不必作任何改动就可以针对性的解决用友 ERP所遇到的安全问题:PKI/CA^a2•在应用系统中使系统用户 用数字证451PKI/CA^a2•在应用系统中使系统用户 用数字证451•从CAik证中心申请数字证书用友NC应用系统如图所示，解决方案总体框架包含如下几个基本思想:采用东方中讯提供的证书服务，为最终用户颁发数字证书，提供安全认证服务。基于东方中讯和用友NC的系统集成，通过数字证书实现身份认证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的机密性和抗抵赖性。三、 用户证书保存在USB令牌中，USB令牌是一种安全的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。同时，实现移动办公的需求。四、 技术和法律层面的双重保障抗抵赖性在2005年中华人民共和国《电子签名法》颁布以后，法律上规定：只有得到信息产业部颁发的《电子认证服务许可证》的数字认证机构，其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。东方中讯率先从信息产业部获得该资质，因此， 用友NCERP系统用户使用东方中讯提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据，从而使用友 NCERP的电子化签名和手写签名一样得到法律的认可，可以作为法律上有效的证据，结束了电子化信息系统重要数据的“无据可依”，“无法可依”的现状。因此，通过此方式，用户能够实现技术和法律层面的双重保障。3.2托管服务模式第三方托管型模式的解决方案的适用的范围是：传递的信息敏感，在技术层面上要实现敏感信息传递要防篡改、抗抵赖；信息传递双方（多方）的行为需要有公正的第三方的证实，在法律层面上要能够做到抗抵赖性。例如，资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。采用“ 第三方托管CA”模式企业可以节省，企业就可以专心做自己的业务，而不用购买和维护复杂的、昂贵的PKI系统。更重要的是：客户希望他们使用的数字证书得到《电子签名法》的保护，对于这样的用户我们建议采用第三方托管服务模式：在东方中讯认证中心内部，为客户建立一套托管 CA系统，企业在申请数字证书的时候只需要直接通过互联网到东方中讯数字认证中心在线申请代表集团企业员工、企业供应商、客户、合作伙伴等身份的数字证书。

3.2.1网络架构DB服务器<4ifeikCA管理员3.2.1网络架构DB服务器<4ifeikCA管理员企业本地CA服务器 弋用户如上图所示：托管CA服务在企业本地不建设任何 CA模块，通过企业委派的 CA管理员使用数字证书（以USBKEY为证书介质）登录到东方中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能。CA管理员通过登录到用户注册服务器来完成用户证书申请以及其他证书生命周期管理功能。发放数字证书后，用户可以将数字证书存放在 USBKEY中，登入NC系统时米用用户名+口令+CA认证的方式。用户登入到NC系统，在做了相应的业务操作之后，需要用数字证书对数据进行签名保存，业务数据将被加密传输。审批人员可以对签名的数据进行签名验证，查看业务数据是否被篡改。托管服务模式流程如下图:

用户托管CA管理员|可数字证书，::保存在用户托管CA管理员|可数字证书，::保存在USBkey中:NC用户川友NC资金用友ERP-NC客户托管CA系统——托管在东方中讯认证中心内部用户自己无需维护一套对技术和维护要求很高的 CA系统，用户CA核心后台托管到东方中讯安全数据认证中心。用户需要建设的内容非常少，系统的建设速度也非常快。更重要的是，此种建设方式能够使用户的应用安全得到《中华人民共和国电子签名法》的保护。用户管理员可以远程管理其托管 CA，安全便捷的发放数字证书。电子签名应用服务器在用户的系统中实现数字签名、身份认证、数据加解密的电子签名集成系统（和NC系统配合）。322CA系统工作流程设计（1）证书发放流程

本方案设计的用友托管 CA认证系统采用集中制证的发证模式，其工作流程如下图所示:东方中讯CA认证中心戢烫用尸管理员戢烫用尸管理员证书发放流程（1） 最终用户使用浏览器，访问客户 RA服务器，进入证书申请页面，填写证书申请信息，向客户 RA认证系统提交证书申请请求。在本地 USB令牌上产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给RA服务器；（2） RA管理员使用浏览器，访问 RA服务器管理页面，查看用户提交的证书申请请求，验证申请信息，批准用户的证书申请请求；（3） RA服务器根据管理的批准，向托管在东方中讯的 CA服务器进行申请，CA服务器根据RA的申请，签发用户证书，将用户证书返回到 RA端。同时，给用户发送一封电子邮件，指导用户下载签发的数字证书；（4） 最终用户按照邮件的提示，访问 RA服务器，下载签发的证书，证书下载时自动保存到用户的 USB令牌中，证书申请结束。（2）证书吊销流程在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据用友的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下：（1） 管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问 CA认证系统管理员管理页面，进行用户证书吊销；（2） 管理员通过证书管理功能页面，查询到需要吊销的用户证书；（3） 管理员选择吊销操作，选择吊销用户证书的原因，向 CA认证系统发送证书吊销请求；（4） CA认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；（5） CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。（3）证书更新流程最终用户在其证书即将过期之前，需要访问 CA认证系统，更新自己的证书，其流程为：（1） 最终用户在证书即将过期前（一般为一个月），访问用户 CA认证系统，登录用户服务页面，点击“ 证书更新”选项；（2） 系统自动识别用户是否具有用户 CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新；（3） 用户选择需要更新的证书，点击提交，向 CA认证系统提交证书更新请求。在提交证书更新请求时，在 USBKey中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给 CA认证系统；（4） 管理员使用浏览器，登录CA认证系统管理员管理页面，查看用户提交的证书更新请求，验证证书更新信息，批准用户的证书更新请求；（5） CA认证系统根据管理员的批准，自动更新用户的证书，将更新的用户证书发布到目录服务器，同时给用户发送一封邮件，指导用户下载已更新的证书；（6） 用户按照邮件提示，访问CA认证系统，进入证书下载页面，将已更新的证书下载到本地，自动保存到 USBKey中323CA系统实施部署流程（1）可通过VPN设备来实现对数据传输过程中的安全保护；（2）为客户设计数字证书申请流程和证书上显示的个人信息； （在现场实施之前，东方中讯实施人员需要预先定制证书模板）；（3） 为客户进行NC系统对东方中讯数字证书支持的集成；即，由于东方中讯已与NC系统进行了接口集成，故只需修改 NC系统的调用配置，支持东方中讯的证书即可；（NC系统当中证书的具体应用节点是由用友工程师协助完成）；（4） NC系统在接口和数字证书的使用上有明确的规范和标准，需要在使用数字证书前通过手工绑定的方式，将“ 用户名”和数字证书捆绑在一起，东方中讯提供进行绑定的工具；（5） 完成全部实施工作。托管模式意义（1）从技术层面上讲： 东方中讯数字证书实现的数字签名技术可以通过目前最安全的PKI技术上实现以下功能：数字签名：对关键业务数据进行签名，保证机密性、完整性和不可抵赖性。安全访问：替换掉原有安全级别较低的“ 用户名/口令”方式，防止非授权用户的恶意攻击，同时不能破坏 NC原有的权限管理机制。信息加密：通过高强度的加密算法形成安全的 SSL加密通道，防窃取。（2）从法律层面上讲：东方中讯率先获得了《电子认证服务许可证》，其所颁发的数字证书得到中华人民共和国《电子签名法》的认可和保护。NC-ERP使用东方中讯数字证书服务，其电子化签名即和手写签名一样可以作为法律上有效的证据。有效的满足了NC-ERP资金、财务等敏感信息对法律方面的安全需求。3.3CA技术与VPN相结合对于采用标准协议实现的 VPN设备，由于VPN设备对数字证书的支持，根据东方中讯的经验，我们采用的方案是把PKI/CA技术与VPN应用系统相结合，解决VPN应用中存在的安全问题，确保VPN技术在互联网上应用的安全。我们可以通过 CA认证系统为VPN设备颁发数字证书，为客户端颁发个人证书，利用东方中讯的 CA系统进行相应的数字证书发放和管理。证书的加密和验证数据在这些设备之间进行传送，产生了一个安全的虚拟专用网络。VPN总体架构东方中讯通过为VPN系统建立一套CA认证系统，为VPN系统用户发放数字证书，用户使用数字证书登录 VPN系统，实现基于数字证书的 VPN身份认证。本方案将采用东方中讯的东方中讯 CA系统为VPN建设CA认证系统。总体框架图如下：CA认证系统片I务器一、 采用东方中讯东方中讯CA系统，建设一个标准的 CA认证系统，为VPN设备和用户颁发数字证书，提供安全认证服务。二、 利用VPN体系架构，通过标准协议在 VPN应用中集成数字证书。用户在登录到VPN系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现对VPN用户的身份认证和访问控制。用户证书保存在最终用户的 USB令牌中，USB令牌是一种安全的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。另外，使用 USB令牌，员工可以在外地或网吧，随时随地的通过 VPN客户端访问企业内部的业务系统，提交保存在USB令牌上的用户证书，实现 VPN的安全登录。332VPN安全登录实现原理目前，使用VPN可以采用两种方式，即使用证书的方式和不使用证书的方式。对于不使用证书的方式建立的 VPN存在下列风险：（1）不使用证书的方式建立VPN时，是基于“用户名和口令”的认证，我们知

道“用户名和口令”的认证强度低，存在很多安全弱点，无法满足较高的安全需求；（2）其次，不使用证书的方式存在 VPN密钥分发的困难，VPN密钥是一个对称

密钥，用来对VPN链路层数据的加密。而目前比较通常的做法是在配置VPN时，就在VPN客户端和VPN服务端（VPN网关）之间配置一个共享的对称密钥。但是这种方式的对称密钥的安全性不高，很容易被泄漏。为了提高这种方式的安全性，需要管理员不定期的对共享的对称密钥进行更换，但是，由于更换对称密钥的操作中的人为因素等原因，使得这种方式存在巨大的安全隐患。为此，VPN应用引入了证书，来解决不使用证书方式存在的安全隐患：（1） VPN证书（包括VPN设备证书和VPN用户证书）是VPN设备和用户的护照，表明设备和用户的身份，基于数字证书的身份认证是一种强身份认证，完全可以满足应用的身份认证需求；（2） 使用VPN证书（包括VPN设备证书和VPN用户证书）可以实现协商会话密钥，在进行数据通信时，发送方产生会话密钥，对发送数据进行加密，然后使用接收者的证书（公钥）加密会话密钥。接收者使用自己的证书私钥解密会话密钥，再用会话密钥解密被加密的数据；VPN证书应用根据以往的VPN证书应用经验，证书的应用流程主要有：（1）登录CA服务器，下载VPN根证书，将CA根证书上传到设备系统中；（2）为VPN设备申请设备证书，将设备证书上传到 VPN设备中；配置VPN设备中使用证书的身份认证方式和加密方式等的参数；（3）为用户申请用户证书，将证书保存在 USBKEY中；并配置客户端程序，使VPN系统使用证书进行登录身份认证；（4）用户在登录系统时，跟原来的流程一样， VPN系统自动通过证书验证用户端额身份，根据用户的权限建立相应的连接；并通过证书来交换 VPN加密通道的会话密钥;整个认证过程采用证书进行用户身份认证，并使用证书交换会话密钥，增强了系统的安全性。3.4硬件RA-・・-东方中讯RA-M东方中讯电子认证注册服务器东方中讯 RA-M锐风。概述东方中讯东方中讯 RA-M是东方中讯根据市场需求自主研发的一款电子认证注册服务器。产品集成了用户注册服务、证书审批管理、吊销列表管理、证书发布管理、RASDK开发包、WEB服务、数据库服务、日志审计服务等技术，提供了具有法律效力的证书申请、审核、核发、发布、更新、吊销等证书生命周期管理功能，能够和企业应用系统无缝集成；东方中讯RA-M产品是高度硬件化集成，有效的解决了用户在部署、维护上的问题，购买该硬件设备后，即可通过工程师快速安装，安装简单、方便；维护成本低，效率高。产品可广泛应用于通信、网络、金融、电力、交通、军事、工业自动化等各领域。产品特点良好的兼容性：采用先进的技术框架，纯 Java语言开发，具备极强的平台兼容性。简单易用：安装配置简单， WEB操作界面。扩展性好：提供基于标准的 API接口，有良好的扩展性。维护方便：通过远程维护功能可以及时协助用户解决问题。性能可靠：经过严格测试，满足百万级以上证书运营的支持能力。343产品功能1、 用户证书服务功能；证书申请、证书查询、证书下载、证书吊销、证书更新。2、 管理员证书管理功能查看证书、吊销证书、注册证书、证书发行量查询、批量制证、管理员审计功能。3、 系统配置管理网络配置、证书配置、邮件配置、运行状态显示、远程状态监控和维护。4、 审计及日志管理按照管理员日志审计、按照证书审计、按照用户审计。3.5证书存储介质本方案推荐使用USBKEY来保存用户的证书及私钥。 USBKEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有 USB接口）上的漫游，可以满足用友移动办公的需求。 USBKEY可以设置用户口令保护，增强了证书及私钥的安全性。4人员安全解决方案4.1信息部职责信息部负责审核数字证书认证服务提供者的认证资格。负责组织公司相关部门对数字证书管理制度和规范的制定，管理用户数字证书的签发、撤销、更新的技术性操作。负责证书审批平台的管理工作，组织相关部门对所要颁发证书的用户进行身份鉴证的工作。负责做好数字证书应用的技术支持工作。4.2各部门、分公司的职责审核本部门员工申请数字证书的权限，执行公司有关的计算机网络安全管理规定及数字证书管理规定。对持有数字证书的员工在解除、终止劳动合同的 24小时内，督促其填写《数字证书应用撤销表》并提交信息部。经本部门申请、为非公司在册员工开通的数字证书应用负监管责任。4.3员工的权利与义务1、 因工作需要，按照本规定的要求，办理数字证书应用申请。2、 依照本规定，正确、安全应用数字证书，不得泄露公司内部相关的信息。3、 在使用过程中出现的任何故障，应及时向公司信息部进行反馈。4、 妥善保管好数字证书，不得以任何方式将数字证书提供给他人使用。5、数字证书遗失，需及时填写《数字证书撤销表》并提交信息部，由于丢失所造成的损失由当事人本人承担。4.4证书申请流程和规范数字证书应用主要是为用户提供安全的认证服务。证书申请流程和规范的制订，是为了便于用户理解，并按照申请流程和规范完成证书申请。数字证书发放模式发证模式是指采用何种方式将数字证书安全的发放给申请人。采用集中制证发证模式。集中制证定义为，申请人填写《数字证书应用申请表》，经申请部门经理、信息部经理同意，报公司主管领导批准，证书审批签发人员一一由信息部数字证书管理员和相关部门（如人力资源部工作人员或证书的申请部门工作人员）一同代替用户申请、下载申请人证书，并将个人证书以安全的方式分发给最终用户，数字证书的备份存储到安全的介质内，授权开通相应的数字证书应用。在集中制证模式下，证书审批签发人员承担的责任和义务：必须按照申请人提交的《数字证书应用申请表》信息，集中生成申请人证书，制作个人USBKEY，并将用户证书安全的分发到用户手中；不得向其他人或机构透露申请人的信息；在制作证书过程中，必须保证两名以上工作人员且不为同一部门的工作人员同时在场；必须通过安全的方式确认将保存有数字证书发放到申请人手中。（采用申领报的方式实现）在集中制证模式下，申请人承担的责任和义务：申请人必须如实填写《数字证书应用申请表》，提供给证书签发审批人员；申请人得到申请好数字证书之后，自己负责妥善保管好数字证书。申请人在离职或工作岗位变动时，须及时通知信息部，参照 4.3条款。申请人在丢失证书时，须及时通知信息部，填写《数字证书撤销表》，并从新提交申请。数字证书申请流程1、申请人必须如实填写《数字证书应用申请表》 ，经申请部门经理、信息部经理同意，报公司主管领导批准，提交信息部；2、 证书审批签发人员根据审核通过的《数字证书应用申请表》信息为申请人申请数字证书；3、 证书审批签发人员将数字证书安全的发放到申请人手中；4、 数字证书仅限于本人使用，需妥善保管，任何人不得以任何理由转借他人。4.5鉴证审批管理规范鉴证审批的基本原则信息部在进行证书申请的鉴证审批时，必须遵循下列基本原则：鉴证审批工作必须在其他相关部门的监督下进行，信息部数字证书管理员部门不能擅自行使鉴证审批的职责；鉴证审批工作必须由信息部数字证书管理员进行，其它人员不能擅自代替数字证书管理员行使鉴证审批的职责；数字证书管理员必须遵循公司有关安全管理制度，对申请人的信息和资料保密，不得将申请人的信息和资料带出公司，并负责将申请人有关信息和资料进行归档备份；数字证书管理员在进行鉴证审批时，必须遵循，认真的履行鉴证审批职责；证书申请只有在通过鉴证审批后，才能获得批准，并签发申请人证书；数字证书管理员在完成用户的鉴证审批后，对鉴证审批进行记录，包括记录鉴证审批的结果，对证书申请的处理结果，包括是批准、等待还是拒绝用户证书申请，将记录进行归档。证书更新鉴证在证书即将过期时，用户需要进行证书更新，向信息部系统管理员提交证书更新请求，证书更新鉴证是指证书鉴证审批工作人员对证书更新请求进行鉴证。用户填写《数字证书更新申请》，提交信息部和相关部门，数字证书管理员应该马上组织相关部门人员一同登录管理员站点，批准用户的证书更新请求，更新用户的证书。证书吊销鉴证公司内持有数字证书的员工在如下情况：解除、终止劳动合同；工作需要。需撤销员工的数字证书应用时，应填写《数字证书应用撤销表》，提交给信息部。证书吊销流程：填写《数字证书应用撤销表》，提交给信息部；信息部数字证书系统管理员在得到《数字证书应用撤销表》之后，立刻登录管理员站点，查询到请求吊销的证书，认真核对证书的确是请求吊销的证书之后，选择吊销原因，吊销用户证书；信息部数字证书系统管理员将吊销的用户证书发布到证书吊销列表（ CRL）中4.6网络管理员安全控制网络管理员职责网络管理员的基本职责是负责网络线路、设备及相关子系统的运行、管理和维护工作，保证网络正常运转及其安全，并对网络建设规划及改造现有网络系统提供技术建议。1、 有清醒的政治头脑和较强的信息处理能力，熟悉国家的网络管理法规，能严格遵守并正确执行相应的法规。2、 负责组织落实本单位网络的扩建、改建及修建项目的实施工作，协助制订各项规章制度的建立。3、负责对网络设备、服务器、网络资源（如 ip地址等）以及用户等的配置管理工作，确保本单位网络的连通性。4、 负责网络故障排除工作，确保故障点在最短时间内得到恢复。5、 负责网络流量的统计和分析（即统计用哪些用户使用网络、传输多少数据、访问什么资源以及各类资源的利用情况）工作。6、 负责网络性能监测和控制工作，使之能在网络资源一定的前提下，确保网络提供可靠、连续的通信能力，并使网络资源的使用达到最优。7、 负责网络安全管理工作。防止网络资源被非法使用；防止网络资源由于入侵攻击而遭到破坏；防止病毒网络入侵等。杜绝任何单位和个人，利用校园网络从事与教学、科研和行政管理无关的活动。8、 负责学校关键数据和信息的备份工作，并做好保密工作。9、 做好相应的日志记录工作。10、 坚持计算机、行政管理的业务学习，不断提高专业水平。特别是要掌握网络新技术、新应用，并能为其他部门用户提供技术支持。11、完成领导交办的其他工作NC系统人员安全管控1、 NC管理员主要负责对NC系统用户管理，权限分配以及业务流程的设置2、 CA管理员主要负责证书的制作和用户与 NC系统的绑定。（1）登陆界面如下图：豊陆证书管理控制批量导入证书数据插入单条证书数据总動擁IJ??r1[in

KEY插入之后，“证书”默认为管理员的证书。，进入:(2)绑定用户证书到NC用户：选择上图的“插入单条证书数据”，进入:插入单条数据是否插入kwy:语辐入kwyf呆护丧码：诸输入KeyJD:密码是否正确:客户氓证书扁UIB:证书Base64編码B汕記4編码:插入数据阵］|壓维护正确的key保护密码后点击“开始”，运行后如下图所示:过程中可能会出现错误提示，如：插入单条数据1开贻是否插入k色y:谙输入臥頑护密码：iS4nAl£ey_IIi:巒码是否正确：客戶谛证书信息VID:证书編码Base64编码:null|插入数据库遇到此类情况，可能把KEY拔出再插入试试，如下成功:是否插入k^y:谙输入key!呆护应码：诸输入Key_ID:密玛是否正确：客户端证书信JBUII:证书£垃电64編阳Bre餐64蝙円：MnEADCCA2mgAwIBAgIVAI0q4N7pX0yX8YsQET4M0Edo3gAAMA0插入数据库KEY的物理编号，以方便统计备注：key-IDKEY的物理编号，以方便统计点击“插入数据库”，进行绑定：

&.0.2.122:9080/itrus/clientInsertDo.jsp?TestApplet=con.itrus.nc.test*5BpanelO%2C(K«»Ai2录成功Adj返回即完成绑定。NC系统的安全，主要是由CA来完成NC系统的安全，主要是由CA来完成NC资金系统，系统验证客户端 key信主要负责对网络与计算机的管理，针对（1） 客户端身份安全管理财务人员使用数字证书的方式登入到息；（2） NC系统业务操作安全管理在业务单据制作过程中，系统会要求财务人员提交客户端证书信息，对所做的业务单据做电子签名，一旦业务单据被黑客或者认为非法篡改，系统会提示验证签名失败。例:a、黑客篡改业务数据电电力开发公司粤电燃料公司电电力开发公司粤电燃料公司b、付款单据被篡改保存，取涓y妥托付我书号00付卿■中右付粒内®*p盘靈次写)收芟序目内粥收tr■佼收葫草蛊地坡芟时像行占称KC4\—■■» F・总麻入嶷日厮绪if方贰星苦刖:立林C、系统发现业务单据被篡改剧新SiB厨菽撻交卑启固蕊PiaO闍锹也竟祚應切离打印iStWT6P币轉财务公司审核子公司提交的付款申无NC后台会调用天威诚信签名验证模块对提交的数据进行完整性验证“即可发现数据被篡改！！(3)网管安全控制委托村歎节車核f^ratt■我片播能肆鸞以下单狷号的勞托村片荊:、*S9T9?£若益证失數弘系统验止签名时发现数抓被慕改f 1Z 、厂 下发及填报汇总审批迄仝十古杠彳+till比謀□□rrOilTLIx'lt.x资金计划表样1 . 资给计划 J资金计划资金调度计划应收昔理、应付管理、报账中心（外部和內部结算单据｝结算单位

资金結算业务/m\i£B / 1业务结业务植 投资业融资业IT| |银J理账户算首理核萤理 务管理务管理1行*—> 前<—*—适*1机器机资金

粽算业务忘资金结盲业务妊证数抵安全JI人11."安至数据安全与认证安全财务财务资金

雜算财笔反资金

分析报告层资全计划与实际对比分析报告析报告结算中心忌账吨证资金流量和存■监控分析报告内外部融分祈报台在NC系统信息传输过程中，网银适配器到银行的安全是由各家银行来提供。而网银适配器是接收到业务系统（ NC）发送的加密签名后的指令数据后，首先调用东方中讯提供的COM版解密模块使用网银适配器证书私钥对密文进行解密（详细方案参考4.2节）。网管无法对业务单据进行支付操作NC系统层次安全架构介绍5.1客户端接入客户端接入：强大的访问控制与授权功能。NC采用“插件”式安全模型，用户能够部署自己定制的身份验证、授权和角色关系，也可以采用OS内部的安全机制、数字证书认证或者其它方法，并能很容易的与其它安全认证系统集成，比如指纹认证系统、数字证书认证系统、加密卡 /机等等安全认证网关应用：是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议和建立在 PKI上的加密与签名技术来获得私有性。同租用线路等方法相比，安全认证网关既节省开销又易于安装和使用，已经成为企业架构 Intranet和Extranet的首选。图：使用安全认证网关建立的企业网的结构企业内部资源享用者通过 PSTN网连入本地ISP的POP（PointofPresenee，指服务商通常在很大的地理范围放置多个网络设备）服务器，即可相互通信，而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。由于安全认证网关需要共享公共的、存在着安全隐患的网络，如 Internet，因此安全性是一个非常重要的问题。安全认证网关解决方案的安全性由 3个基本要素组成：安全认证、授权和监听。安全认证服务决定谁可以使用网络，授权服务负责分配不同资源的访问权限，而监听则确保资源的使用方式与网络的策略相符合。通过使用安全性服务，安全认证网关可以保证数据在传送过程中的保密性和不被篡改，并将数据正确地分配给相应的用户。

5.2传输层加密传输层加密：真正安全的数据传输功能。因为NC运行在基于自主知识产权的中间件上， NC的所有数据都需从中间件层过滤，可以通过在中间件层对数据进行安全处理，来做到真正意义上的数据安全，从而再也不用担心底层操作系统、硬件本身具有的系统漏洞或所留的后门对数据安全带来的威胁。在NC中间件层中，已经对传输的数据进行了加密。算法除了一些经典的如DES之外，还可根据用户的需求采取具有自主知识产权的更高级别的加密算法:祇I「祸TRMI/IIOP(DE阱Press]HTTP/HTTPS局域啊互联朝

(Intranet)(Hemet)RMEAIOPD.HIVIHI:祇I「祸TRMI/IIOP(DE阱Press]HTTP/HTTPS局域啊互联朝

(Intranet)(Hemet)RMEAIOPD.HIVIHIII4III)——窗怆「颐:<1■EJBPress舄域网[(Intranet)5.3服务器安全服务器安全：自主研发的安全中间件。用友NC作为企业级ERP系统，除了能很容易的集成进用户自己的安全网络环境中外，自身已具有了强壮的访问控制功能与数据安全传输功能。

作为应用系统本身， NC的各应用模块完全运行在用友具有自主知识产权的中间件NC本身应用的高度安全NC本身应用的高度安全如图，NC是完全基于J2EE三层分布式结构的应用系统。HTMLHTML外部系统LHTTP/HTrP^ApacheWebServer,IISRMV1IOPXML数据交换

平台（外挂）基于J2EE安全模型，dLLHJSP

EngineomorQAoodUOO①uuooContainerServlet

ContainernIEJNApp.ServerNC允许配置一个Web或enterprisebean组件，使系统资HTMLHTML外部系统LHTTP/HTrP^ApacheWebServer,IISRMV1IOPXML数据交换

平台（外挂）基于J2EE安全模型，dLLHJSP

EngineomorQAoodUOO①uuooContainerServlet

ContainernIEJNApp.ServerNC允许配置一个Web或enterprisebean组件，使系统资源只能由授权的用户访问；在中间件层，可实现数据的加密、压缩功能，保证数据传输的安全性等。5.4数据库安全数据库安全：安全的数据存储。NC对关键的数据文件可实现加密存储，因此不用担心泄密或非法访问。对于数据库中的数据，除了用户自己的安全控制之外， NC可与数据库加密系统集成，做到只有数据库表的使用者才能读到该表的安全功能。如果客户已不仅仅满足一般的数据文件加密存储，而是对数据库的安全有更高的需求，要求只有表的拥有者或合法使用者才能查阅到该表的内容，其他用户、甚至是据库系统管理员也无法读到表中正确的内容。在这种情况下，可以通过在 DBMS外层外挂数据库加密系统来实现。加密定义工具数据库应用系统数据库加密系统能够满足客户对字段加密、密钥动态管理、合理处理数据等需求，并且不影响合法用户的使用。采用这种加密方式时，加 /解密运算可以放在客户端进行，其优点是不会加重数据库服务器的负载并可实现网上传输加密，缺点是加密功能会受一些限制。上图中，“加密定义工具”模块的主要功能是定义如何对每个数据库表数据进行加密，在创建了一个数据库表后，通过这一工具对该表进行定义；“ 数据库应用系统”的功能是完成数据库定义和操作。数据库加密系统将根据加密要求自动完成对数据库数据的加/解密6证书审批模式设计如下表所示，东方中讯托管型 CA服务支持多种审批模式，用友完全可以根据自身实际需求选择一种或组合选择其中多种来满足企业自身的发证需求：审批模式种类审批模式模式说明适合场景备注

手动审批标准证书申请模式标准运营场合自动审批与数据库/LDAP/文件集成来完成用户身份验证，从而实现自动审批为企业内部用户颁发证书，更适合大用户量场合；通行码审批管理员预生成通行码，用户使用通行码来申请并下载证书为企业内部用户颁发证书，通行码容易安全分发给用户；集中模式管理员集中进行用户申请，批量制证，然后分发给用户为企业内部用户颁发证书，但用户量不大；往往与自动审批组合使用6.1手动审批手动审批指用户登录证书申请界面填写注册信息， RA管理员鉴证用户身份后，登录证书管理页面，手动批准用户证书请求，用户然后登录证书注册页面下载证书。手动批准方式可以根据配置设定是多人批准或一个管理员批准；其流程如下图所示：1 , 企业本地■用户具体工作流程如下:用户访问证书注册RA服务器Web页面，根据系统的要求，填写自己的姓

名、部门、电子邮箱等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给 RA系统；RA系统在收到用户的注册信息后，有关鉴证人员会对用户的证书申请资格及真实身份作鉴证，鉴证通过后，将鉴证结果反馈给 RA管理员；RA管理员根据鉴证结果，为鉴证通过的用户批准颁发数字证书， CA系统自动为用户签发数字证书，并将签发的结果以邮件的形式返回给用户；用户根据邮件中提示的网址链接，下载并安装数字证书；6.2自动审批自动审批模式通过部署AA模块和AA签名模块来实现用户证书审批的自动化管理。在自动审批模式下，企业可以定制自己的证书申请审批规则，由自动管理服务器自动完成企业个人用户证书的审批，而无需管理员的手工干预，从而大大方便了企业对证书的管理。系统提供了各种用于自动管理的 API，企业可根据自己的需求建立用户验证过程。用户验证的数据可以放在人力资源数据库中，或 LDAP目录中。用户验证的数据内容可以是用户在数据库业务系统中的名称和密码，也可以是 LDAP服务器上的访问权限。东方中讯提供AA开发接口，企业可以定制开发自己的验证方式。WtRAAA自动養AA签名具体工作流程如下：⑴用户访问证书注册RA服务器Web页面，根据系统的要求，填写自己的用户名、口令等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给 RA系统；RA系统收到用户的证书申请信息后，将信息转交给 AA自动管理服务器；AA自动管理服务器请求帐号管理数据库，根据用户提交的用户名、口令验证用户的身份，验证通过后，将帐号管理数据库中的用户信息读取出来；AA签名服务器对以上信息进行签名确认；信息签名确认后，将用户通过的证书申请请求连同用户信息一起发送给 CA服务器；CA服务器自动为用户签发数字证书，将签发数字证书的结果以邮件形式反馈给用户；用户根据邮件中提示的网址链接，下载并安装数字证书；'自动审批的安全设计：配置AA端的签名模块时需要为本地 RA帐户申请帐户证书，帐户证书保存在签名服务器，当 AA服务器自动签发证书时需要用帐户证书签名，并用CA中心的AA证书对数据加密，保证数据的安全——性。同时从CA中心返回至AA服务器的数据，也要求使用 CA中6.3通行码审批通行码方式是根据用户在证书注册网页上填写的通行码来鉴别用户的身份，从而实现自动颁发数字证书的方式。通行码是一串随机数，里面包含通行码序号和密码信息，它是管理员通过秘密的方式发送给用户的，用户使用通行码登陆证书注册网站，填写注册信息和通行码，提交请求，证书被自动批准的方式。其流程如下图所示:具体工作流程如下：CA管理员通过CA系统，产生证书申请通行码，并将通行码以安全的方式发放到用户手中;用户访问证书注册RA服务器Web页面，输入通行码，并根据系统的要求，填写必需的注册信息，同时在本地生成一对密钥对，私钥保存在本地，公密钥连同通行码、注册信息一起提交给 RA系统；RA系统将用户的通行码提交给 CA服务器器，由CA服务器验证用户的通行码的真伪，验证通过后，自动为用户签发数字证书；CA服务器将签发结果返回给用户，用户根据提示的网址链接，下载并安装证书；适用环境：大量用户申请数字证书，管理员手工批准工作繁重。在这种方式下要求通行码必须是通过安全可靠的方式发送给用户。如果没有一个安全可靠的通行码发送方式，对于安全级别要求比较高的数字证书，比如服务器证书，企业证书，不推荐采用该方式。丄完全托管模式、本地RA模式、本地RA+AA自动管理模式都支持通行码方式申请数字证书 。6.4集中制证模式集中制证是指由管理员集中为用户录入注册信息，审核用户信息的真实性，将证书写入证书存储介质(通常为 USBKEY)，最后将制作好的证书分发给最终用户使用。为了减轻管理员的工作压力，其流程如下图所示：具体工作流程如下:管理员访问证书注册 RA服务器Web页面，插入USBKEY，填写需要申请证书的用户名等基本信息，同时在USBKEY中生成一对密钥对，私钥保存在本地，公密钥连注册信息一起提交给 RA服务器；RA服务器连接后台CA服务器申请签发数字证书；管理员确认用户的详细信息，然后向 CA服务器提交用户申请请求；CA服务器自动为用户签发数字证书，并将签发的证书返回给 CA管理员，证书自动存储到USBKEY中；管理员将USBKEY发放给用户；适用环境：证书用户为企业内部用户或相关分销商、供应商等外部用户制证，通过管理员集中为用户制证，避免了最终用户证书申请过程中的误操作；通过自动管理模块的集成，极大减轻了管理员的信息录入工作负担。

CA安全认证系统工作原理7.1系统安全原理（1）身份认证和访问控制实现原理利用Web服务器对SSL（SecureSocketLayer，安全套接字协议）技术的支持，可以实现系统的身份认证和访问控制安全需求。目前，SSL技术已被大部份的WebServer及Browser广泛支持和使用。采用SSL技术，在用户使用浏览器访问 Web服务器时，会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时：首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份。其次，服务器会要求用户出示客户端证书（即用户证书），服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通过后，服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。如下图所示，除了系统中已有的客户端浏览器、Web如下图所示，除了系统中已有的客户端浏览器、Web服务器外，要实现基于SSL的身份认证和访问控制安全原理，还需要增加下列模块:客户端 册逼务器身份认证和访问控制原理图客户端 册逼务器身份认证和访问控制原理图Web服务器证书要利用SSL技术，在Web服务器上必需安装一个 Web服务器证书，用来表明服务器的身份，并对 Web服务器的安全性进行设置，使能 SSL功能。服务器证书由CA认证中心颁发，在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及 CA对证书相关域内容的数字签名。服务器证书都有一个有效期， Web服务器需要使能SSL功能的前提是必须拥有服务器证书，利用服务器证书来协商、建立安全 SSL安全通道。这样，在用户使用浏览器访问 Web服务器，发出SSL握手时，Web服务器将配置的服务器证书返回给客户端，通过验证服务器证书来验证他所访问的网站是否真实可靠。用户证书用户证书由CA认证中心颁发给企业