证书办理指南

业务受理点地址:重庆市北部新区高新园人和街道镜泊中路5号1幢1层

客服热线:023-63063149

(工作时间:上午9:30-12:00;下午13:30-18:30;除国家规定法定节假日)

请携带以下资料至程远未来业务受理点进行办理即可:

1.个人类型数字证书业务办理提交资料如下:

(1)个人数字证书业务申请表(含数字证书订户协议)(一式两份,手写签名);

(2)申请人身份证原件和证件正反面复印件(一式一份);

附:个人证书申请表示例

2.机构类型数字证书业务办理提交资料如下:

(1)机构数字证书业务申请表(含数字证书订户协议)(一式两份);

(2)组织机构代码证副本复印件或机构营业执照副本复印件(一式一份);

(3)被授权人身份证原件和证件正反面复印件(一式一份)

附:机构证书申请表示例

注:所有资料需加盖公章

3.机构设备类型数字证书业务办理提交资料如下:

(1)机构设备数字证书业务申请表(一式两份);

(2)组织机构代码证副本复印件或机构营业执照副本复印件(一式一份);

(3)域名或IP地址与证明文件复印件(一式一份);

(4)授权书(一式一份,手写签名);

(5)程远未来数字证书订户协议(一式两份,手写签名);

(6)经办人身份证原件和复印件(一式一份,证件正反面);

注:所有资料需加盖公章

附:机构设备证书申请表示例

4.个人设备类型数字证书业务办理提交资料如下:

(1)个人设备数字证书业务申请表(一式两份);

(2)域名或IP地址与证明文件复印件(一式一份);

(3)程远未来数字证书订户协议(一式两份,手写签名);

(4)申请人身份证原件和复印件(一式一份,证件正反面);

附:个人设备证书申请表示例

业务办理流程
证书使用方法
第一步:安装数字证书用户工具

退出杀毒软件,将数字证书介质插入电脑,打开“我的电脑”,双击“驱动器”进行安装,安装完成后电脑桌面上会显示“用户工具”图标。

第二步:打开数字证书用户工具,确保证书已识别

如图所示,表示证书已识别:

第三步:使用数字证书登录应用平台操作业务

打开应用平台系统地址,点击证书登录,输入PIN码,初始密码为wa1234,点击登录即可。证书使用完成后,请拨出证书介质,并妥善保管。

注:订户独立享有数字证书的使用权,同时因使用数字证书产生的义务、责任由订户自行承担。程远未来不负责订户的数字证书保管。无论订户是自行或使用其他方式保管,还是委托依赖方进行保管,订户都应当妥善保管数字证书。如因订户或托管方原因致使数字证书私钥泄露、损毁或者丢失的,程远未来不承担赔偿责任。订户知悉数字证书已经丢失或者可能已经丢失时,应当及时告知程远未来或通过依赖方平台,及时提交与数字证书新办时相同的资料办理数字证书补办。如数字证书在有效期内损毁、丢失、泄露的,订户应当及时向程远未来或通过依赖方平台申请办理补办手续。在补办完成前发生的损失由订户承担。

常见问题
1、数字证书客户端如何安装

答:插入数字证书介质后会自动弹出运行安装界面,按照提示安装完成即可。(注:安装过程中请不要将其它USB移动设备插在电脑上,建议安装过程暂时关闭防火墙或杀毒软件。若无法自动弹出安装界面,可在“我的电脑”下双击“驱动器”进行安装。)

2、如何查看证书有效期

答:用户可打开【数字证书用户工具】,双击证书查看数字证书有效期,需在证书到期前三个月到证书受理点进行更新。

3、修改PIN码方法

答:用户可打开【数字证书用户工具】,点击修改用户口令,输入新旧口令,点击确定即可。

4、用户使用证书登录应用平台,提示“证书已过期”,如何处理?

答:请检查客户端显示数字证书是否已过有效期,如已到期 ,请先进行证书更新。

5、更新后为何还提示证书已过期

答:浏览器里有已过期证书,删除过期证书后即可使用,删除方法:打开IE浏览器,点击菜单栏中的“工具”→“Internet 选项”→“内容”→“证书”,选中过期证书,点击删除即可。

数字证书基础知识
数字证书

数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书的一个重要的特征就是只在特定的时间段内有效。

数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。

数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。

数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

CA机构

CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。

证书签发过程

CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构CA使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

数字证书颁发过程一般为:

用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息(CSR)传送给认证中心(CA)。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

工作原理

数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按当下计算机技术水平,要破解1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:

保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;

保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。

数字签名

将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。

将该报文摘要值用发送者的私人密钥加密(对明文进行解密完全没问题,会得出一个不可读的“明文”),然后连同原报文一起发送给接收者,而“加密”后的报文即称数字签名。

接收方收到数字签名后,用同样的HASH算法对原报文计算出报文摘要值,然后与用发送者的公开密钥对数字签名进行解密(原先已经把签名加密了,再解密就能还原)得到的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。(由于只有拥有私钥的签名者能通过“解密”摘要生成签名,因此具有安全和不可抵赖性。)那为什么是对报文摘要进行加密,而不是对原报文进行加密呢?这是因为RSA加解密非常耗时,被加密的报文越大,耗得时间越多,因此聪明的人类对其摘要进行加密,(因为报文摘要是要比原报文小得多),仍然能够起到同样的作用。这就是为什么多了个报文摘要。

PKI技术基础

(1) PKI基本概念

公钥基础设施PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用于解密的密钥与加密密钥相同,这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相应密钥即可将数据解密使用或进行非法篡改。

区别于原有的单密钥加密技术,PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

(2) PKI的基本组成

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;

数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;

密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

Copyright © 2018-2018 版权所有 重庆程远未来电子商务服务有限公司