北京电子邮政CA认证系统

我国CA机构发展历程及现状CA中心又称CA机构，即证书授权中心(Certificate Authority )，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。

CA机构的数字签名使得攻击者不能伪造和篡改证书。

在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。

它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

从1999年8月3日我国第一家CA认证中心——中国电信CA安全认证系统成立，目前我国已有140多家CA认证机构。

从2004年8月8日《中华人民共和国电子签名法》颁布以后，已被信息产业部审批的合法CA机构已有22家。

其中一些行业建成了自己的一套CA体系，如中国金融认证中心（CFCA）、中国电信CA安全认证系统（CTCA）等；还有一些地区建立了区域性的CA体系，如北京数字证书认证中心（BJCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。

就国内目前状况而言，我国的CA还处于一个起步上升阶段，没有形成完整的统筹与协调，国内CA机构的发展还是各自为政，呈现独立发展的混乱局面，没有建立一个政策上固定的全国性CA(如美国的邮政CA)。

就中国CA市场而言，目前我国CA市场存在以下主要问题：1．我国CA市场存在较严重的同质竞争。

据信息产业部的不完全统计，目前我国有CA认证机构140多家，并且还有增建的趋势，而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。

目前，过多的CA认证中心正在拼抢有限的市场规模，由于并不存在完全的不可替代性，所以这些CA机构都还处于同质竞争阶段。

这种竞争的结果是各家认证中心都需要通过价格战占领市场，而过于低廉的费用，不但不能够保证基本的服务，其权威性也会受到质疑。

1单位数字证书申请表请如实填写本表，*为必填项，并提交相应证明材料至北京数字认证股份有限公司或其设立的注册机构审核。

I. 证书办理类型*证书业务类型：初次办理证书更新信息变更丢失补办损坏补办 密码解锁证书吊销*证书有效期：1年其他 证书应用信息：应用归属单位：中央国家机关政府采购中心 （数字证书应用的信息系统所属单位，如：市质监局）应用系统名称：中央政府采购网（数字证书在什么信息系统中使用，如：质监年审系统）II. 申请单位资料*单位名称： *法定代表人：*通信地址：*邮政编码：*单位电话：单位传真：*经办人姓名：*经办人手机：经办人电子邮箱：*经办人证件名称：*证件号码：*证件1 工商营业执照工商营业执照注册号：(或其他批准成立证照号码)*证件2 组织机构代码证组织机构代码：-证件3税务登记证其他证件 证件号码：其他关键信息项：（如：计算机代码）III. 申请单位声明申请单位在此郑重声明：1、 本单位为申请数字证书而提供的资料完全真实。

本单位愿意承担由于提供的资料虚假失实而导致的一切后果。

2、 本单位已认真阅读并同意遵守《北京数字认证股份有限公司电子认证服务协议》中的各项规定。

在此申请表上盖章即表明接受该协议的约束。

经办人签名： 申请单位（公章）： 申请日期：年月日IV. 受理审批（受理单位填写）数字证书密码卡序列号： 证书业务操作员签名： 提交材料 ①填写完整的本表(一式两份) (加盖公章) ②出示本表所示证件1、2其中任一的原件 ③提供本表所示证件1、2复印件(加盖公章)若需填写本表所示证件3，需同时提供复印件(加盖公章)④提供经办人有效身份证件的原件及复印件（加盖公章）证书存储介质序列号：北京数字认证股份有限公司电子认证服务协议数字证书是电子认证服务机构签发的包含数字证书使用者身份信息和公开密钥的电子文件。

北京数字认证股份有限公司（以下简称BJCA），是工业和信息化部批准的电子认证服务机构和国家密码管理局批准的电子政务电子认证服务机构，遵照《中华人民共和国电子签名法》为用户提供数字证书相关的电子认证服务。

CA登录及管理使用手册CA登录及管理使用手册1.登录系统1.1.进入CA登录界面1.2.输入用户名和密码1.3.登录按钮2.密码管理2.1.修改密码2.1.1.进入密码修改界面2.1.2.输入原密码2.1.3.输入新密码2.1.4.确认新密码2.1.5.保存按钮2.2.忘记密码2.2.1.进入忘记密码界面2.2.2.输入用户名和邮箱2.2.4.按照邮箱中的指示重置密码3.用户管理3.1.查看用户列表3.1.1.进入用户管理界面3.1.2.获取用户列表3.2.添加新用户3.2.1.进入添加用户界面3.2.2.填写用户信息（用户名、密码、邮箱等） 3.2.3.保存按钮3.3.编辑用户3.3.1.进入用户编辑界面3.3.2.修改用户信息3.3.3.保存按钮3.4.删除用户3.4.1.进入用户管理界面3.4.2.选择要删除的用户4.权限管理4.1.分配角色4.1.1.进入角色管理界面4.1.2.选择要分配角色的用户 4.1.3.选择角色4.1.4.保存按钮4.2.创建新角色4.2.1.进入创建角色界面4.2.2.填写角色名称和描述 4.2.3.选择角色权限4.2.4.保存按钮4.3.编辑角色4.3.1.进入角色管理界面4.3.2.选择要编辑的角色4.3.3.修改角色信息4.3.4.保存按钮4.4.删除角色4.4.1.进入角色管理界面4.4.2.选择要删除的角色4.4.3.删除按钮5.日志管理5.1.查看登录日志5.1.1.进入日志管理界面5.1.2.选择登录日志类型5.1.3.搜索按钮5.2.查看操作日志5.2.1.进入日志管理界面5.2.2.选择操作日志类型5.2.3.搜索按钮附件：- CA登录及管理系统用户手册.pdf- CA登录及管理系统操作视频教程.mp4法律名词及注释：1.CA：表示Certificate Authority（证书授权机构），在网络通信中用于颁发和管理数字证书的机构。

2.用户名：用于识别用户身份的字符串。

中国记者网CA证书自主更新系统客户端用户使用手册微软Surface Pro 6安装驱动1、验证key驱动是否已经安装,插入key之后点击屏幕右下角的图标，查看是否存在图标（以windows7为例，windows xp直接在屏幕右下角查看）如果存在驱动图标请跳过“安装驱动”否则请继续安装key驱动。

2、登录中国记者网（），在网页右下方“常用下载”栏目中下载USB-KEY 驱动程序：常用工具下载页面即可下载“USB-KEY驱动程序”。

下载后双击，如遇“安全警告”点击运行；4、在弹出的窗口中点根据软件提示继续安装该驱动，点击“安装”；5、点击“下一步”；6、点击“完成”。

7、USB-KEY驱动程序安装后，电脑右下角任务栏会显示“ePassNG证书管理工具”8、此时USB-KEY驱动程序已安装成功。

如用户本机上有杀毒软件，电脑会提示拦截此软件，点击“放过”或“解除阻止”即可。

证书自主更新客户端下载1、打开IE浏览器，在地址栏输入https://219.141.187.64:7443/Client.zip后，敲回车键，如下图：2、点击【继续浏览此网站】，出现下图所示；3、点击【保存】按钮旁，系统会自动保存安装包，安装包位置如下：4、打开【我的电脑】，点击左侧【下载】栏，便可看到安装包【Client.zip】。

安装说明1、右键点击下载好的【Client.zip】选择【解压到当前的文件夹】：2、双击点开解压缩后的文件夹：3、双击【setup.exe】，弹出窗口：4、等待10秒左右页面自动跳转到下图（请勿点击取消）：5、点击【安装】：6、等待10秒左右页面自动跳转到下图（请勿点击取消）：7、点击【完成】，到此客户端安装完毕。

更新说明1、当usb-key中存在满足更新条件的证书，自助服务系统客户端自动更新证书，PC机右下角显示证书更新进度：2、更新成功后，直接弹出证书更新结果信息：3、点击【关闭】到此证书更新完毕，请登录记者网测试证书是否更新成功。

随着互联网的普及，尤其是电子商务、电子政务的不断实施，CA认证越来越受到人们的重视，其市场也不断扩大。

但是，许多互联网用户对此概念还比较模糊，对其作用和市场不甚了解，为此，作者希望通过本文的介绍对CA认证市场及其广大网络用户起到抛砖引玉的作用。

１．关于CACA机构，又称为证书授证（Certificate Authority）中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。

CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明客户合法拥有证书中列出的公开密钥。

CA机构的数字签名使得第三者不能伪造和篡改证书。

它负责产生、分配并管理所有参与网上信息交换各方所需的证书，因此是安全电子信息交换的核心。

CA认证所签发的数字证书包括个人数字证书，企业数字证书服务器身份证书．安全Web站点证书、代码签名证书，安全电子邮件证书．广泛的被应用于电子商务、网上银行、电信、电子政务、网上身份证、数字签名、电子公证、安全电邮、保险等领域。

２．获得数字证书的过程首先用户要填写数字证书申请表，向认证中心申请单位提供申请人（申请单位）的身份信息；然后发证机构验证用户身份；认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附有用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。

当用户想证明其身份的合法性时，就可以提供这一数字证书了。

3．数字证书的内容证书的格式由ITU标准X.509V3来定义。

根据这项标准，证书包括申请证书个体的信息和发行证书CA的信息．证书由以下两部分组成(1)证书数据版本信息，用来与X.509的将来版本兼容；证书序列号,每一个由CA发行的证书必须有一个惟一的序列号；CA所使用的签名算法；发行证书CA的名称；证书的有效期限；证书主题名称；被证明的公钥信息,包括公钥算法、公钥的位字符串表示；包含额外信息的特别扩展。

数字证书下载平台用户操作手册北京中金国信科技有限公司二〇一六年三月目录1 引言 (1)1.1 编写目的 (1)1.2 名词定义 (1)2 下载平台功能详解和使用方法 (1)2.1 首页 (1)2.2 用户证书下载 (3)2.2.1 签名证书下载 (4)2.2.2 加密证书下载 (6)2.2.3 双证书下载 (7)2.2.4 SM2双证书下载 (8)2.2.5 其它类型证书下载 (10)2.2.6 检验证书是否下载安装成功 (11)2.3 Web服务器证书下载 (21)2.4 证书换发 (24)2.5 证书查询 (27)2.6 CRL下载 (31)1引言1.1编写目的数字证书下载平台（以下简称：下载平台）是一套为终端客户提供数字证书自助查询及下载的管理系统。

本文档详细地说明用户证书下载，Web服务器证书，证书换发，证书查询，CRL下载功能及使用方法，方便用户使用。

CFCA下载平台地址：测试系统：生产系统：1.2名词定义CA ：数字证书下载平台CRL : 证书吊销列表CSP : 加密服务程序2下载平台功能详解和使用方法2.1首页请打开IE浏览器，访问下载平台地址，显示如下界面（图为控件安装后界面），则说明登录成功；图控件成功安装后首页如控件未安装，可以点击页面上的下载控件按钮进行控件的下载安装。

图点击下载控件点击【运行】（Run）按钮直接运行安装控件，或点击【保存】（Save）按钮，保存控件到本地→关闭浏览器→运行该控件，如下图：图运行控件控件安装成功后，重新打开浏览器，重新登录统一下载平台地址。

此时您在首页可以点击相关链接进行“用户证书下载”或“Web 服务器证书下载”。

2.2用户证书下载在打开下载平台页面后，点击导航栏的“用户证书下载”或首页的相关链接，即来到了用户证书下载页面，首先进入的是《CFCA 数字证书服务协议》界面，如下图：图证书下载服务协议页面如果您点击【接受此协议】按钮，则会进入下载页面，如果您需要下载或打印此协议的word版，则可点击【下载并打印】按钮。

Single sign-on Authentication审计（Aud i t ）通过构建完整可信的用户资源信息库，整合现有应用系统的用户库，集中实现用户信息、凭证和组织机构的统一管理 具体包括： 包括统一的数字身份管理 组织架构的全局视图俯瞰 账户生命周期管理 基于角色的管理员账户管理2、统一身份认证管理为系统内各类用户提供身份信息注册、凭证发布、用户资料管理、销毁和登录认证功能。

系统可同时支持口令方式、数 字证书、动态口令认证、指纹认证、人像等多种身份认证模式。

3、统一授权管理采用基于角色和基于业务权限的授权模型，在统一平台上实现各个应用系统的 调用权限”细粒度的资源权限控制，解决 用户能访问哪些系统”的问题。

4、 单点登录采用基于数字签名的安全票据技术，实现方便、快捷、安全的单点登录。

5、 信息共享与同步建立统一的权威机构数据、用户数据、用户授权数据等资源库并作为所有应用系统的数据源，通过数据同步接口，实现 多个应用系统间的用户信息资源共享。

统一认证管理系统UAMS随着信息化的不断发展，政府、企业等单位逐步建立了众多信息系统，并随着业务不断拓展还需要建设类似系统。

用户 要在不同的独立系统上完成业务工作， IT 管理员也需要分别管理独立的应用系统和分散的资源，定制不同的用户信息和安全 策略，带来极大的管理压力。

北京 CA 的统一认证管理系统(UAMS, Unified-Authentication-Management-System) 以 PKI/CA 为基础，通过统一用户 管理、统一认证方式、单点登录，多点漫游、共享的信息服务及安全审计，有效解决多应用系统运行所带来的使用不便、维 护困难问题，降低安全隐患，提高各系统的管理效率。

UAMS 产品功能 BJCA 统一认证管理系统由 用户管理、 认证管理、 授权管理、和单点登录模块组成：用户管理AccountAuthorizationUAMS F单点汗录认证管理1、统一用户管理应用级访问控制权限”粗粒度和系统功能6、安全审计管理提供完善的安全审计和管理功能。

证书管理机构——CACA是PKI系统中通信双方都信任的实体，被称为可信第三方（Trusted Third Party，简称TTP）。

CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。

作为第三方而不是简单的上级，就必须能让信任者有追究自己责任的能力。

CA通过证书证实他人的公钥信息，证书上有CA的签名。

用户如果因为信任证书而导致了损失，证书可以作为有效的证据用于追究CA的法律责任。

正是因为CA愿意给出承担责任的承诺，所以也被称为可信第三方。

在很多情况下，CA与用户是相互独立的实体，CA作为服务提供方，有可能因为服务质量问题（例如，发布的公钥数据有错误）而给用户带来损失。

证书中绑定了公钥数据、和相应私钥拥有者的身份信息，并带有CA的数字签名。

证书中也包含了CA的名称（图中为LOIS CA），以便于依赖方找到CA的公钥、验证证书上的数字签名。

如图1所示。

1 CA签发证书验证证书的时候，需要得到CA的公钥。

用户的公钥可以通过证书来证明，那CA的公钥如何获得呢？可以再让另一个CA来发证书，但最终总有一个CA的公钥的获得过程缺乏证明。

PKI技术并不把这样一个循环问题留给自己，而是依赖其它的安全信道来解决。

因为CA毕竟不多，可以通过广播、电视或报纸等公开的权威的媒介，甚至通过发布红头文件的方式来公告CA的公钥。

公告CA的公钥可以有多种形式，为了兼容程序的处理，人们一般也以证书的形式发布CA的公钥。

CA给自己签发一张证书，证明自己拥有这个公钥，这就是自签名证书（Self-Signed Certificate）。

如图2所示：2 CA自签名证书与末端实体的证书不一样，在尚未确定CA公钥时，CA自签名证书其实不是真正的数字证书，而仅仅是拥有证书形式的一个公钥。

所以CA自签名证书必须从可信的途径获取。

例如，任何人都可以产生一对公私密钥对，并声称自己就是LOIS CA，然后签发一张自签名证书、并通过网络随意传播。

关于CA数字证书续费等相关事宜的通知
各使用单位：
CA数字证书续费功能已经上线（BJCA证书、CFCA证书），下面介绍一下基本的操作流程
续费地址
******/cadelay.html
用户中心→CA信息→CA续费→年检付费
关于CA数字证书续费的重要提示：
如招投标项目在业务操作执行过程中，CA数字证书尚有足够有效期完成业务操作的，建议待业务操作结束后进行续费；如必须进行续费，则应对原招投标文件进行重新生成、加密、上传招投标业务系统。

显示要续费证书详细信息，点击确认
如果要申请发票点击“是”选择开票类型以及开票信息（建议开具电子普票）
注：1、一旦选择开票类型，不能更换
2、如果选择领取纸质发票，需在下载中心→“续费发票领取通知单”
点击确认，进入支付界面（微信、支付宝）第一次续费费用为150元
支付完毕，进入续费页面提示您下载最新的驱动程序1.3（未下载最新驱动不能进行续费操作）
下载最新程序后点击年检按钮，输入CA锁密码（默认111111）
密码输入完成，自动进行年检操作（请勿操作键盘鼠标），几秒钟后提示“年检延期成功”
成功续费后界面。

BJCA数字证书使用指南及常见问题一、为什么要使用CA证书？为提高药品分类采购系统信息安全水平，保证系统中敏感信息的机密性、完整性，保证身份鉴别与授权的真实性，增强抗抵赖性，保障供应商的合法权益，我们引入CA数字证书，CA证书是用户在系统中的唯一合法电子化标识。

二、CA证书如何申请？需在湖北省公共资源交易中心11层提交数字证书申请资料，审核通过后，根据北京数字认证股份有限公司（BJCA）提供的申请指南进行在线证书申请和付费，由BJCA制作数字证书，并快递。

三、收到BJCA快递的数字证书之后，如何登录药品分类采购系统？1.第一步，数字证书客户端安装：进入药品分类采购系统首页，首先点击“CA证书登录”，如图点击“CA证书安装下载”，进行证书客户端安装（具体安装方法见“CA安装说明下载”）。

2.第二步，在USBKey口插入数字证书，检查证书状态。

双击“”如下图：若未安装成功客户端，请重新安装；若未显示证书信息，则重新插入CA和进行“环境检测”。

3.第三步，修改密码。

将CA初始密码修改为便于记忆的密码，点击上图“修改密码”操作即可。

CA初始密码从CA初始密码刮刮卡获取。

4.第四步，登录药品分类采购系统。

在登录首页将会显示企业用户名称，指需要输入修改之后的CA密码，即可登录系统。

如图所示：若出现登录失败等情况，可通过如下方式获取帮助：四、关于报价加密和解密CA的使用1.使用CA登录系统之后，业务未处理完成之前，不允许拔掉CA证书。

若在此过程中，拔掉了CA，则需重新登录系统。

2.若报价过程中出现“加密失败”、“解密失败”“签名失败”等字样，先使用CA客户端检查CA状态，若状态正常，请通过以下方式寻求帮助：。