I卫生系统电子认证服务体系系列规范-卫生系统数字证书服务管理平台接入规范(试行)卫生部办公厅2010年4月30日II目录1范围.................................................................................................................................................................................12系统接入总体要求.........................................................................................................................................................13CA系统功能要求...........................................................................................................................................................14CA系统接入接口要求...................................................................................................................................................24.1证书信息同步接口.............................................................................................................................................24.2黑名单信息同步接口.........................................................................................................................................44.3查询证书信息接口.............................................................................................................................................85WSDL文件...................................................................................................................................................................115.1WSDL原文.......................................................................................................................................................11附录(资料性附录)名词解释........................................................................................................................................1811范围根据《卫生系统电子认证服务管理办法(试行)》相关要求,电子认证服务机构在开展服务前须接入卫生部数字证书服务管理系统。本规范描述了电子认证服务机构的CA系统(简称CA系统)接入卫生部数字证书服务管理系统的总体要求、CA系统功能要求以及CA系统接入接口要求等。本规范用于指导相关电子认证服务机构将CA系统接入卫生部数字证书服务管理系统,实现系统接入过程标准化及安全控制,实现数字证书服务的统一管理。2系统接入总体要求根据《卫生系统电子认证服务管理办法(试行)》的规定,卫生部将建设集中的数字证书服务管理系统,用于卫生系统内所有证书用户信息的收集、查询、统计和分析,以及进行用户意见收集、服务质量监督等管理工作。卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。拟为卫生系统领域提供服务的电子认证服务机构,须符合《卫生系统电子认证服务管理办法(试行)》的相关要求,将CA系统接入到卫生部数字证书服务管理系统。接入卫生部数字证书服务管理系统的电子认证服务机构应符合以下要求:1)电子认证服务机构的CA系统应符合《证书认证系统密码及其相关安全技术规范》。2)电子认证服务机构的CA系统应遵循《电子政务电子认证体系建设总体规划》(国密局联字[2007]2号)中关于电子认证体系建设的相关要求,符合《电子政务电子认证服务管理办法》(国密局发[2009]7)相关要求。3)电子认证服务机构的CA系统签发的证书应遵循《卫生系统数字证书格式规范》,使用的证书介质应符合《卫生系统数字证书介质技术规范》,开展证书应用集成工作时应遵循《卫生系统数字证书应用集成规范》。4)电子认证服务机构的CA系统的功能应符合本文第3章要求。5)电子认证服务机构的CA系统应遵循本文第4章的接口要求,将CA系统中的数字证书和黑名单及时同步到卫生部数字证书服务管理系统。3CA系统功能要求电子认证服务机构的CA系统须具备如下基本功能:1)证书申请:CA系统签发的证书类型应包括:内部机构证书、内部工作人员证书、内部设备证书、外部机构证书、外部个人证书和外部设备证书。以上各类证书格式须符合《卫生系统数字证书格式规范》的要求。对内部用户提供服务时,为提高证书办理效率,CA系统应提供批量录入和批量审核的功能。2)证书更新:CA系统应提供证书更新功能。证书更新后,新证书的有效期须延长,密钥须更换,证书的实体唯一标识须保持不变。3)证书解锁:证书保护口令连续10次输入错误,证书介质须自动锁死。CA系统应提供证书解锁功能,用户可重新设置新的证书保护口令。4)证书吊销:CA系统应提供证书吊销功能。证书吊销后,CA系统应实时签发黑名单,并将黑名单发布给相关的卫生信息系统和卫生部数字证书服务管理系统。5)密钥恢复:CA系统应提供加密密钥和加密证书的恢复功能。密钥恢复后,用户可恢复原有的加密证书和2加密密钥,证书和密钥的存储格式应与原有证书一致,保障用户的历史密文信息可以完成解密操作。6)证书信息发布:CA系统应提供将数字证书申请、更新和吊销等相关信息同步到卫生部数字证书服务管理系统的功能。数据同步时,CA系统应遵循和调用证书服务管理系统的证书信息同步接口(详见4.1节)。CA系统应提供证书信息发布功能,外部证书用户的发布按照批准的电子认证业务规则(CPS)规定的策略执行,内部用户证书在对外发布前应经用户管理单位审定。4CA系统接入接口要求电子认证服务机构的CA系统调用数字证书服务管理系统提供的数据同步接口,实现与卫生部数字证书服务管理系统之间数字证书和黑名单的信息同步等,接口的函数原型及功能描述请参照以下章节描述。4.1证书信息同步接口函数原型:publicstring[]CertRequestInfoSyn(CUserInfouserinfo,stringstrSignValue)。功能描述:CA系统调用该接口,将证书数据同步到卫生部数字证书服务管理系统。输入参数:CUserInfo:需要同步的证书数据,详见表1说明。strSignValue:使用CA系统的服务器证书对CUserInfo域的数据组合进行的数字签名,数据原文采用XML数据标准格式,示例代码CreateXML.java见附录。签名算法采用sha1RSA,数字签名的数据格式为BASE64编码格式。返回值:详见表2说明。表1CUserInfo证书信息表序号属性属性名称是否为空数据类型备注1.TradeType业务类型NString1:证书首次发放2:证书更新3:证书吊销2.CaInfoCA身份标识NStringCA身份标识,CA机构的营业许可证后4位数字3.CertType证书类型NString工作人员证书:G;内部机构证书:U;内部设备证书:S外部个人证书:P外部机构证书:J外部设备证书:W4.UserId用户实体唯一标识NStringCA系统中的用户ID号,即证书实体唯一标识5.CommonName证书主体NString用户姓名或单位名称,该内容为签发的证书主题名称6.PaperType证件类型NString组织机构代码:JJ工商营业执照:GS税务登记证:SW身份证:SF军官证:JG护照:HZ回乡证:HX3其他:QT7.PaperID证件号码NString个人证书和工作人员证书填身份证号码、军官证、护照或其他;机构证书和设备证书填组织机构代码、工商营业执照、税务登记证或其他。8.ProvinceName省份名称NString省份名称必须有9.LocalityName城市名称NString城市名称必须有10.UnitName单位名称NString单位名称必须有11.DepartmentName部门名称NString部门名称12.PostalAddress邮政地址YString邮政地址13.PostalCode邮政编码YString应为6位数字14.AgentMan联系人YString联系人15.TelephoneNumber用户电话号码YString单位证书时,应为单位的固定电话16.Fax用户传真号码YString用户传真号码17.E_mail用户电子邮件YString可选项,单位证书时,与经办人信息一致。18.MobileTelephone用户手机号码YString可选项,单位证书时,与经办人信息一致。19.EncCertData加密证书YString用户证书,BASE64编码(加密证书和签名证书不能同时为空!)20.SignCertData签名证书YString用户证书,BASE64编码(加密证书和签名证书不能同时为空!)21.TransName经办人姓名YString单位证书时,非空22.TransTel经办人电话YString单位证书时,非空23.TransEmail经办人电子邮件YString单位证书时,非空24.TransMobile经办人手机号码YString单位证书时,非空25.TransPertype经办人证件类型YString身份证:SF军官证:JG护照:HZ回乡证:HX其他:QT26.TransPaperID经办人证件号码YString填身份证号码、军官证、护照或其他证件号码27.TradeTimeCA系统提交数据时间NStringCA系统提交时间,格式如:20071120133456表2证书同步接口返回值说明表4序号属性属性名称是否为空数据类型1.ErrorCode返回代码N0:成功,其他值:失败(值为错误号)EC301:验证数据签名失败EC302:检查用户录入数据完整性错误EC303:该用户发放数据已经同步成功EC520:保存数据出现异常2.Time业务系统交易时间N返回给CA系统,格式如:200711201334563.strRetSignValue签名值N接收端对返回代码ErrorCode和时间Time的数据组合进行的数字签名。签名原文的数据格式是:ErrorCode+“,”+Time证书信息同步接口XML格式定义如下:注:下文中的所有“CAURL”代表电子认证服务机构的服务网