数字证书本地注册审核中心LRA使用指南.docx

1、数字证书本地注册审核中心LRA使用指南数字证书本地注册审核中心（LRA）使用指南吉林省密码管理局长春正元信息安全技术股份有限公司2019年3月1概述 11.1什么是数字证书，数字证书有什么作用 11.2数字证书本地注册审核中心（LRA） 11.3制证终端 21.2.1开机 21.2.2关机 21.2.3修改密码 22制发数字证书 22.1受理申请 22.2录入 32.3审核 42.4制证 62.4.1县乡通用户KEY插入 72.4.2县乡通用户KEY格式化 72.4.3县乡通用户KEY创建应用 82.4.4下载数字证书 93检测KEY是否损坏 113.1下载安装KEY检测工具 113.2双击运

2、行KEY检测工具 123.3插入KEY并输入KEY的PIN码 123.4检测结果 134附注 134.1KEY采购方法 134.2重要声明 134.3数字证书更新操作 144.3.1高速KEY更新操作前的准备 144.3.3更新、审核、下载证书 164.3.4将更新后的数字证书绑定到县乡通上 241概述1.1什么是数字证书，数字证书有什么作用本指南所称数字证书,是指证明数字签名属于谁的证书，与数字签名配套使用，可以对信息进行真实性保护。还可以使用数字证书对信息进行机密性保护。1.2数字证书本地注册审核中心（LRA）本指南所称数字证书本地注册审核中心（LRA），是指依托电子政务内网、使用商用密码

3、、为县乡通用户制发数字证书的系统。省密码管理局负责数字证书本地注册审核中心（LRA）的规划建设管理工作。市（州）、县（市、区）密码管理局负责数字证书本地注册审核中心（LRA）的使用工作，应当具备以下条件：（一）设置3名管理员角色，即录入员1名、审核员1名、制证员1名；（二）具有制证所需机房环境；（三）具有制证终端1台。 县乡通用户向市（州）、县（市、区）密码管理局申请数字证书，应当提交县乡通用户数字证书申请表，提供真实、完整和准确的信息。市（州）、县（市、区）密码管理局收到数字证书申请后，应当落实以下工作内容：（一）录入员受理数字证书申请、审查县乡通用户数字证书申请表、在制证终端中录入申请信息

4、；数字证书有效期不超过3年；录入员应当保存县乡通用户提交的县乡通用户数字证书申请表，保存期限至少为5年；（二）审核员审核录入员录入的申请信息；（三）制证员制作数字证书，以KEY为载体发放数字证书；市（州）、县（市、区）密码管理局选择【双证书模板】制作县乡通用户数字证书，以县乡通用户KEY为载体发放县乡通用户数字证书；市（州）、县（市、区）密码管理局选择【电子签章模板】制作电子签章数字证书，以电子签章KEY为载体发放电子签章数字证书。市（州）、县（市、区）密码管理局应当筹资采购预留一定数量的KEY（不纳入固定资产管理，可按普通耗材对待），在县乡通用户因丢失KEY或损坏KEY而重新申请数字证书时，

5、避免因无KEY而影响发放数字证书。1.3制证终端1.2.1开机在制证终端右下角找到开机按钮，点击后会进入登录页面，默认的用户名为root，密码为6个1。1.2.2关机在制证终端屏幕左下角找到【离开】按钮，点击后有关机、重启、注销等操作选项。1.2.3修改密码在制证终端屏幕左下角找到【计算机】,点击【系统设置】，选择【账户细节】，弹出页面中点击【更改密码】，如下图所示：注意：【root】为操作系统最高权限，修改密码后一定要牢记密码！如果遗忘只能重装操作系统！2制发数字证书2.1受理申请县乡通用户使用县乡通之前，应当向本地区密码管理局申请数字证书。县乡通用户申请数字证书，应当填写县乡通用户数字证书

6、申请表。一般来讲，本地区密码管理局应当给县乡通用户发放两把KEY，一把是县乡通用户KEY，另一把是电子签章KEY。本地区密码管理局需要对两把KEY进行贴签，以区分县乡通用户KEY和电子签章KEY。2.2录入制证终端开机，然后将录入员KEY插入制证终端USB口，双击桌面上的省认证结点图标，弹出选择证书对话框，如下图所示：选择证书列表中的录入员证书，点击【确定】，输入 6个1，进入省认证结点页面。点击页面左上角的【证书申请】，页面如下图所示：在【证书模板】中选择 【安可县乡通模板】制发的县乡通用户数字证书可用于县乡通系统。在【BaseDN】中选择【C=CN】；在【证书有效期】中选择【下载时生效】；

7、在【有效期】中选择【1000天】；在【单位名称】中填写使用单位名称；在【姓名】中填写使用人的姓名；在【证件号码】中填写使用人的身份证号码；填写好申请信息后，点击页面右上角的【申请】。申请成功后，系统提示【您的操作已成功】，页面如下图所示：2.3审核先拔掉录入员KEY，关闭省认证结点页面。再插入审核员KEY，重新登录省认证结点，弹出选择证书对话框，如下图所示：选择证书列表中的审核员证书，点击【确定】，输入 6个1，进入省认证结点页面，点击页面左上角的【申请查询】，在列表中选择需要审核的申请，页面如下图所示：点击需要审核的申请，进入审核页面，点击页面右下角的【审核】，页面如下图所示：审核成功后，系

8、统提示【您的操作已成功】，页面如下图所示：2.4制证先拔掉审核员KEY，关闭省认证结点页面。再插入制证员KEY，重新登录省认证结点，弹出选择证书对话框，如下图所示：选择证书列表中的制证员证书，点击【确定】，输入 6个1，进入省认证结点页面。2.4.1县乡通用户KEY插入将制证员KEY拔掉，将县乡通用户KEY插入制证终端。2.4.2县乡通用户KEY格式化点击页面左侧的【系统管理】下面的【SM2 KEY管理】，选择【安可县乡通模板】，在页面右侧的【管理员密码】中输入111111、在【用户密码】中输入111111，然后点击页面右上角的【格式化】，如下图所示：选择县乡通用户KEY后，弹出输入用户PIN

9、码对话框，输入5678。点击【登录】，等待一会后弹出格式化成功对话框，如下图所示：至此，县乡通用户KEY格式化完成。2.4.3县乡通用户KEY创建应用接着点击页面右上角的【创建应用】，如下图所示：选择县乡通用户KEY后，弹出输入用户PIN码对话框，输入5678。点击【登录】，等待一会后弹出创建应用成功对话框，如下图所示：至此，县乡通用户KEY创建应用完成。2.4.4下载数字证书点击页面左侧的【证书查询】，在页面右侧找到需要下载的数字证书记录，点击该记录，跳转到选择下载方式页面，如下图所示：点击页面右侧的【下一步】，进入证书下载页面，在【KEY类型列表】中选择 【吉大正元_飞天key 1.0（火

10、狐）】点击页面右上角的【下载】，弹出输入用户PIN码对话框，输入111111，如下图所示：点击【登录】，等待一会后弹出证书下载成功对话框，如下图所示：至此，下载数字证书完成。4.1数字证书更新操作数字证书是一串数字，本身并不会损坏，但是作为数字证书的载体，KEY具有算法芯片和USB接口，受外力作用影响，KEY较为容易损坏。KEY损坏，数字证书将无法使用，KEY丢失，数字证书随之丢失。目前，这两种情况的处理方法是更新数字证书。 更新操作的【保持原有密钥】功能可以保证在重新下载证书后，用户依然能够解密原来保存的密文。 另外，当数字证书过期需要延期时，也可以通过更新操作将原来的数字证书延期，让用户继

11、续使用。4.1.1更新、审核、下载证书一、录入员更新制证终端开机，然后将录入员KEY插入制证终端USB接口，双击桌面上的省认证结点图标，弹出选择证书对话框，如下图所示：选择证书列表中的录入员证书，点击【确定】，输入 6个1，进入省认证结点页面。点击页面左上角的【证书查询】，页面如下图所示：证书查询页面如下图所示： 点击要更新的证书，进入证书更新页面，如图所示：在更新申请页面中【是否保持原有密钥】选择“是”，点击【保持有效期】，再选择【下载时生效】，然后点击【提交】。如图所示：更新成功后，提示【录入证书更新申请成功】，如图所示：二、审核员审核先拔掉录入员KEY，关闭省认证结点页面。再插入审核员KEY，重新登录省认证结点，弹出选择证书对话框，如下图所示：选择证书列表中的审核员证书，点击【确定】，输入 6个1，进入省认证结点页面，点击页面左上角的【申请查询】，在列表中选择需要审核的申请，页面如下图所示：点击需要审核的更新申请，进入审核页面，点击页面右上角的【审核】，页面如下图所示：申请审核界面中的【审核】选择通过，如图所示：审核成功后，系统提示【您的操作已成功】，页面如下图所示：三、制证员下载证书操作详见2.4章节操作