GDCA_V40版数字证书接入指导书_DOTNET.doc

GDCA_V3.10版数字证书接入指导书 CA接入整体架构图 架构说明 应用系统接入GDCA安全应用支撑平台需要具备如下条件： 客户端 客户端部件 部件名称 说明 硬件 USBkey 存放数字证书的硬件介质 软件 客户端中间件 (适用操作系统：windows系列) 包含如下部分： 1使用数字证书的安全接口； 2数字证书介质的驱动； 客户端部件获取方式 USBkey: 需与GDCA销售人员联系申请。 客户端中间件：请到网站下客户端驱动（请注意版本号，下载必威体育精装版版本使用）。安装前请先查看《客户端安装演示程序》 部件说明 USBkey：存放数字证书和密钥的存储介质，该硬件介质拥有唯一的用户PIN码，该PIN只和USBkey硬件介质有关联（如同银行卡的密码），要使用USBkey的密钥必须要通过中间接口的login函数进行登陆。USBkey允许6次PIN输入错误，超过6次PIN输入错误后USBkey将锁死（USBkey锁死后需要GDCA进行解锁才能继续使用）。 客户端中间件：是一个访问USBkey和实现各种安全功能的接口程序，以com控件的形式提供，通过页面的javascript进行调用接口。 服务器端 服务器端部件 部件名称 说明 硬件 安全应用支撑服务器 存放服务器端证书和密钥，提供安全服务； 软件 服务器端中间件 (适用操作系统：windows、linux、AIX、HP_unix) 包含如下部分： 1服务器使用数字证书的安全接口（主要包含java接口和C接口）； 2安全应用支撑服务器的底层dll； 服务器端部件获取方式 安全应用支撑服务器：目前GDCA在互联网上提供了一台安全应用支撑服务器用于应用系统开发商的调试和测试。IP地址为：7 该服务器通过TCP 6006 和8931 两个端口对外提供服务。 服务器端中间件: 需与GDCA技术人员联系获取。 部件说明 安全应用支撑服务器：该服务器与客户端使用的USBkey具备同样的地位，功能主要是存储服务器端的数字证书和密钥，并提供密码运算服务，只不过该设备是用TCP/IP协议访问，具备并发处理能力，而客户端的USBkey是通过USB接口访问，单一线程访问。 服务器端中间件：是一个访问安全应用支撑服务器和实现各种安全功能的接口程序，以C接口和jar包形式提供，通过应用系统自身服务器端程序调用。 开发环境搭建 服务器端环境搭建 服务器端环境搭建前，请先确认服务器端与GDCA互联网提供的安全应用支撑服务器的网络联通性，请按下面三个步骤确认； ping 7 (确定网络是否联通)； telnet 7 6006(确定6006端口是否能访问)； telnet 7 8931(确定8931端口是否能访问)； 如果您的服务器端联调安全应用支撑服务器存在问题，请与您所属网络的网络工程师联系开通相关的网络资源和端口。 服务器端环境安装完成后请使用《服务器端环境测试程序》（在附件中）进行测试，确定服务器端环境安装成功。 服务器端详细的安装配置过程请见附件中《服务端安装演示程序》。 客户端环境搭建 客户端环境安装完成后请使用《客户端环境测试程序》（在附件中）进行测试，确定客户端环境安装成功。 客户端详细的安装配置过程请见附件中《客户端安装演示程序》。 安全功能开发实现 GDCA安全应用支撑平台实现的主要安全功能有：身份认证、数字加密、数字签名。下面将对这些功能的实现过程进行详细描述。 注：以下流程均参照附件中的《完整demo程序》进行描述，请参招demo和流程进行开发实现。 身份认证实现 流程图 流程详细说明 1．动态加载COM组件，初始化客户端，用户输入PIN码，读取用户证书并验证证书是否过期。（GDCALogin1.aspx） 2．将用户证书传递给服务器端。（GDCALogin1.aspx） 3．服务器端验证用户证书有效性。（GDCALogin1.aspx.cs） 4．服务器端产生24位随机数用作数字签名验证。（GDCALogin1.aspx.cs） 5．获取服务器端传来的用户签名证书和随机数。（GDCALogin2.htm） 6．客户端使用用户签名证书对随机数进行签名。（GDCALogin2.htm） 7．传递随机数和签名值到服务器端。（GDCALogin2.htm） 8．服务器端验证随机数签名值。（GDCALogin2.aspx.cs） 9．获取用户签名证书中的唯一标识，即信任服务号。（GDCALogin2.aspx.cs） 10．由应用绑定，通过唯一标识（信任服务号）关联权限，判断是否能登录。 注：详细过程请参考例子程序执行过程 详细程序流程图 数据加密/签名实现 流程图 流程详细说明 1．动态加载COM组件，初始化客户端，登