CA认证接口_原创文档.pdfVIP

第三方系统与湖北省烟草CA系统对接说明

一、湖北省烟草CA认证系统简介

湖北省烟草（商业）公司CA系统是依据中国烟草总公司关于行业

CA体系建设要求进行建设，并结合湖北省烟草（商业）公司的实际

业务需求，实现基于数字证书的安全管理平台，主要功能包括：用户

接入、用户授权、用户认证、行为审计、流量净化等功能。

湖北省CA系统中用户认证主要采取两种方式进行处理：

一是基于VPN的安全网关论证方式；

此认证方式为正常访问认证方式，用户在插入CA的USB-KEY后，

用户与安全网关之间建立加密的安全通道（VPN），并通过论证客户

端提供的API接口获取CA证书绑定的用户账号和密码，自动进行基

于表单提交的方式，实现用户登录操作。

二是基于HTTPS的反向代理安全网关的认证方式；

此认证方式为备用认证方式，在第一种认证设备出现问题后才会

启用。用户通过反向代理安全网关，请求使用系统功能或访问系统页

面时，安全网关会要求浏览器提交CA数字证书信息，安全网关会将

数字证书信息提交到被请求的服务器中，系统获取用户证书信息后，

查询证书对应的用户名，完成系统登录功能。

二、CA认证接口说明

1.基于VPN的CA认证接口实现说明

1）CA认证接口示例

a)引入CA认证接口

在登录页面的head部分中引入如下内容：

/F8AccList.js?app=xxxxxxxxx

/F8AccList.js?app=xxxxxx

其中“xxx”红色部分为CA系统为需要集成的第三方系统分配的

系统名称。

b)实现自动登录脚本

在页面中添加如下代码：

functionautoLogin(){

try{

varaccounts=F8_GetAccounts();

if(accounts.length==0){

alert(无法找到对应‘的账号’);

}

varacc=accounts[0];

document.getElementById(username‘’).value=acc[0];

document.getElementById(password‘’).value=acc[1];

document.getElementById(loginForm‘’).submit();

}catch(e){}

}

/script

c)运行加载登录脚本

在body标签中加入bodyonload=”autoLogin();”

2）CA认证接口说明

F8AccList.js的示例内容如下：

varF8_Appaccounts=newArray();varF8_Appaccounts=newArray();

functionF8_GetAccounts(){returnF8_Appaccounts;}functionF8_GetAccounts(){returnF8_Appaccounts;}

其中：

F8_GetAccounts方法返回客户端证书绑定的系统账号和密码，本

方法返回的为一个数组对象，如果一个证书绑定多个用户账号，则返

回所有的登录账号信息；

F8_GetIps方法返回客户端的真实IP地址（如系统不需要获取真实

的IP地址，可忽略该接口）；

2.基于HTTPS反向代理的CA认证接口说明

1）创建CA证书与账号的对照表

在数据库中新建T_S_P_USER_DN表，示例脚本如下：

createtablet_s_p_user(user_namevarchar(32)notnull,user_dn

varchar(200)notnullunique,primarykey(user_name));

其中user_name为用户登录账号，user_dn为CA证书对应的DN

值。

2）实现反向自动登录

在系统登录页面或登录的核心处理接口中，实现如下代码片段：

//从request的参数中获取CA的DN值

if(dn==null||