数字证书本地注册审核中心LRA使用指南.docx
《数字证书本地注册审核中心LRA使用指南.docx》由会员分享,可在线阅读,更多相关《数字证书本地注册审核中心LRA使用指南.docx(17页珍藏版)》请在冰豆网上搜索。
数字证书本地注册审核中心LRA使用指南
数字证书本地注册审核中心(LRA)使用指南
吉林省密码管理局
长春正元信息安全技术股份有限公司
2019年3月
1概述1
1.1什么是数字证书,数字证书有什么作用1
1.2数字证书本地注册审核中心(LRA)1
1.3制证终端2
1.2.1开机2
1.2.2关机2
1.2.3修改密码2
2制发数字证书2
2.1受理申请2
2.2录入3
2.3审核4
2.4制证6
2.4.1县乡通用户KEY插入7
2.4.2县乡通用户KEY格式化7
2.4.3县乡通用户KEY创建应用8
2.4.4下载数字证书9
3检测KEY是否损坏11
3.1下载安装KEY检测工具11
3.2双击运行KEY检测工具12
3.3插入KEY并输入KEY的PIN码12
3.4检测结果13
4附注13
4.1KEY采购方法13
4.2重要声明13
4.3数字证书更新操作14
4.3.1高速KEY更新操作前的准备14
4.3.3更新、审核、下载证书16
4.3.4将更新后的数字证书绑定到县乡通上24
1概述
1.1什么是数字证书,数字证书有什么作用
本指南所称数字证书,是指证明数字签名属于谁的证书,与数字签名配套使用,可以对信息进行真实性保护。
还可以使用数字证书对信息进行机密性保护。
1.2数字证书本地注册审核中心(LRA)
本指南所称数字证书本地注册审核中心(LRA),是指依托电子政务内网、使用商用密码、为县乡通用户制发数字证书的系统。
省密码管理局负责数字证书本地注册审核中心(LRA)的规划建设管理工作。
市(州)、县(市、区)密码管理局负责数字证书本地注册审核中心(LRA)的使用工作,应当具备以下条件:
(一)设置3名管理员角色,即录入员1名、审核员1名、制证员1名;
(二)具有制证所需机房环境;
(三)具有制证终端1台。
县乡通用户向市(州)、县(市、区)密码管理局申请数字证书,应当提交《县乡通用户数字证书申请表》,提供真实、完整和准确的信息。
市(州)、县(市、区)密码管理局收到数字证书申请后,应当落实以下工作内容:
(一)录入员受理数字证书申请、审查《县乡通用户数字证书申请表》、在制证终端中录入申请信息;
数字证书有效期不超过3年;
录入员应当保存县乡通用户提交的《县乡通用户数字证书申请表》,保存期限至少为5年;
(二)审核员审核录入员录入的申请信息;
(三)制证员制作数字证书,以KEY为载体发放数字证书;
市(州)、县(市、区)密码管理局选择【双证书模板】制作县乡通用户数字证书,以县乡通用户KEY为载体发放县乡通用户数字证书;
市(州)、县(市、区)密码管理局选择【电子签章模板】制作电子签章数字证书,以电子签章KEY为载体发放电子签章数字证书。
市(州)、县(市、区)密码管理局应当筹资采购预留一定数量的KEY(不纳入固定资产管理,可按普通耗材对待),在县乡通用户因丢失KEY或损坏KEY而重新申请数字证书时,避免因无KEY而影响发放数字证书。
1.3制证终端
1.2.1开机
在制证终端右下角找到开机按钮,点击后会进入登录页面,默认的用户名为root,密码为6个1。
1.2.2关机
在制证终端屏幕左下角找到【离开】按钮,点击后有关机、重启、注销等操作选项。
1.2.3修改密码
在制证终端屏幕左下角找到【计算机】,点击【系统设置】,选择【账户细节】,弹出页面中点击【更改密码】,如下图所示:
注意:
【root】为操作系统最高权限,修改密码后一定要牢记密码!
如果遗忘只能重装操作系统!
2制发数字证书
2.1受理申请
县乡通用户使用县乡通之前,应当向本地区密码管理局申请数字证书。
县乡通用户申请数字证书,应当填写《县乡通用户数字证书申请表》。
一般来讲,本地区密码管理局应当给县乡通用户发放两把KEY,一把是县乡通用户KEY,另一把是电子签章KEY。
本地区密码管理局需要对两把KEY进行贴签,以区分县乡通用户KEY和电子签章KEY。
2.2录入
制证终端开机,然后将录入员KEY插入制证终端USB口,双击桌面上的省认证结点图标,弹出选择证书对话框,如下图所示:
选择证书列表中的录入员证书,点击【确定】,输入6个1,进入省认证结点页面。
点击页面左上角的【证书申请】,页面如下图所示:
在【证书模板】中选择【安可县乡通模板】制发的县乡通用户数字证书可用于县乡通系统。
在【BaseDN】中选择【C=CN】;
在【证书有效期】中选择【下载时生效】;
在【有效期】中选择【1000天】;
在【单位名称】中填写使用单位名称;
在【姓名】中填写使用人的姓名;
在【证件号码】中填写使用人的身份证号码;
填写好申请信息后,点击页面右上角的【申请】。
申请成功后,系统提示【您的操作已成功】,页面如下图所示:
2.3审核
先拔掉录入员KEY,关闭省认证结点页面。
再插入审核员KEY,重新登录省认证结点,弹出选择证书对话框,如下图所示:
选择证书列表中的审核员证书,点击【确定】,输入6个1,进入省认证结点页面,点击页面左上角的【申请查询】,在列表中选择需要审核的申请,页面如下图所示:
点击需要审核的申请,进入审核页面,点击页面右下角的【审核】,页面如下图所示:
审核成功后,系统提示【您的操作已成功】,页面如下图所示:
2.4制证
先拔掉审核员KEY,关闭省认证结点页面。
再插入制证员KEY,重新登录省认证结点,弹出选择证书对话框,如下图所示:
选择证书列表中的制证员证书,点击【确定】,输入6个1,进入省认证结点页面。
2.4.1县乡通用户KEY插入
将制证员KEY拔掉,将县乡通用户KEY插入制证终端。
2.4.2县乡通用户KEY格式化
点击页面左侧的【系统管理】下面的【SM2KEY管理】,选择【安可县乡通模板】,在页面右侧的【管理员密码】中输入111111、在【用户密码】中输入111111,然后点击页面右上角的【格式化】,如下图所示:
选择县乡通用户KEY后,弹出输入用户PIN码对话框,输入5678。
点击【登录】,等待一会后弹出格式化成功对话框,如下图所示:
至此,县乡通用户KEY格式化完成。
2.4.3县乡通用户KEY创建应用
接着点击页面右上角的【创建应用】,如下图所示:
选择县乡通用户KEY后,弹出输入用户PIN码对话框,输入5678。
点击【登录】,等待一会后弹出创建应用成功对话框,如下图所示:
至此,县乡通用户KEY创建应用完成。
2.4.4下载数字证书
点击页面左侧的【证书查询】,在页面右侧找到需要下载的数字证书记录,点击该记录,跳转到选择下载方式页面,如下图所示:
点击页面右侧的【下一步】,进入证书下载页面,在【KEY类型列表】中选择【吉大正元_飞天key1.0(火狐)】
点击页面右上角的【下载】,弹出输入用户PIN码对话框,输入111111,如下图所示:
点击【登录】,等待一会后弹出证书下载成功对话框,如下图所示:
至此,下载数字证书完成。
4.1数字证书更新操作
数字证书是一串数字,本身并不会损坏,但是作为数字证书的载体,KEY具有算法芯片和USB接口,受外力作用影响,KEY较为容易损坏。
KEY损坏,数字证书将无法使用,KEY丢失,数字证书随之丢失。
目前,这两种情况的处理方法是更新数字证书。
更新操作的【保持原有密钥】功能可以保证在重新下载证书后,用户依然能够解密原来保存的密文。
另外,当数字证书过期需要延期时,也可以通过更新操作将原来的数字证书延期,让用户继续使用。
4.1.1更新、审核、下载证书
一、录入员更新
制证终端开机,然后将录入员KEY插入制证终端USB接口,双击桌面上的省认证结点图标,弹出选择证书对话框,如下图所示:
选择证书列表中的录入员证书,点击【确定】,输入6个1,进入省认证结点页面。
点击页面左上角的【证书查询】,页面如下图所示:
证书查询页面如下图所示:
点击要更新的证书,进入证书更新页面,如图所示:
在更新申请页面中【是否保持原有密钥】选择“是”,点击【保持有效期】,再选择【下载时生效】,然后点击【提交】。
如图所示:
更新成功后,提示【录入证书更新申请成功】,如图所示:
二、审核员审核
先拔掉录入员KEY,关闭省认证结点页面。
再插入审核员KEY,重新登录省认证结点,弹出选择证书对话框,如下图所示:
选择证书列表中的审核员证书,点击【确定】,输入6个1,进入省认证结点页面,点击页面左上角的【申请查询】,在列表中选择需要审核的申请,页面如下图所示:
点击需要审核的更新申请,进入审核页面,点击页面右上角的【审核】,页面如下图所示:
申请审核界面中的【审核】选择‘通过’,如图所示:
审核成功后,系统提示【您的操作已成功】,页面如下图所示:
三、制证员下载证书操作详见2.4章节操作
升级会员 