一、用户背景

该客户为由 国务院 主管的 正部级 单位，位于北京，是 国务院直属机构 之一，主管全国新闻出版事业与 著作权 管理工作，是国家的 著作权行政管理 部门和著作权行政执法机关。

该机构的主要职责之一是对全国所有的报刊资质、记者证件负责进行年审。但是相关法人、自然人分散在全国各地，需要通过远程方式将数字证书安全地分发到指定的硬件证书存储介质。考虑到相关人员的计算机技术水平较低，证书发放过程中需要尽量减少手动操作，以降低使用复杂度，提高操作成功率。

该机构之前已使用了PKI数字证书应用，采用深圳某厂家提供的IC卡及读卡器作为证书存储介质，并使用Windows2003操作系统内置的微软CA系统为用户签发数字证书。需要使用一个国产的CA系统来替换原有的微软CA系统。

二、用户需求

关于此次数字证书更换，客户有以下要求：

1. 存在数目较大的微软CA 系统颁发的存量证书，由于用户分布在全国各地，无法将用户手中的IC 卡收回。
2. 需通过在线证书更新方式，通过互联网完成证书更新操作。
3. 需覆盖已存在IC 卡中的原有数字证书。
4. 证书更换完成后，能够使用原有的应用。

三、解决方案

针对用户对证书管理及使用的安全需求，解决方案分“数字证书认证系统部署、部署集成证书自助服务网关”两部分，概述如下。

1. 数字证书认证系统部署。

数字证书认证系统包括数字证书认证服务器、注册审核服务器、密钥管理服务器、证书/OCSP查询服务器等基础模块，协作构成的完整的、高效的认证体系架构，是一套成熟的、可靠的数字证书基础设施产品。能够同时管理和签发RSA算法的国际证书与SM2算法的国密证书。

2. 部署集成证书自助服务网关。

部署证书自助服务网关实现证书在线自助管理功能。证书自助服务网关是数字证书认证系统的扩展功能子系统，是证书业务的一种自助式的延伸。通过证书自助服务网关证书用户可以在本地在线直接完成数字证书有效期延期申请、数字证书密钥更新申请、数字证书挂失申请、数字证书下载，不再需要管理员在注册审核服务器去完成。

3. 具体建设步骤如下：
• 1） 新建数字证书认证系统，进行申请审核环节集成开发

数字证书认证系统建设过程中，进行注册审核环节的客户化开发，注册审核环节与该机构数据库集成，用于验证证书注册信息与现有的报刊/人员的登记资料匹配，如匹配，可自动通过审核；

• 2） 新建证书自助服务网关，进行证书申请过程的集成开发

新建证书自助服务网关，并改造证书注册申请流程。因用户IC卡中已存在用户数字证书，可直接读取用户数字证书完成身份信息提取。为验证操作者身份，读取到的用户信息需进行签名操作；

• 3） 将新CA证书添加到应用系统信任证书列表

将新CA证书添加到应用系统的信任证书列表，使应用系统能够接收新建的数字证书认证系统颁发的证书；

• 4） 用户访问通过证书自助服务网关完成证书更新流程；
• 5） 使用新证书登录应用系统，可直接进行使用；

用户可以使用自助服务网关颁发的证书直接登录应用系统并进行正常使用。

4. 证书更换流程如下：
   • 1） 证书用户访问证书自助服务网关的注册页面，自助服务网关自动读取IC卡中现有证书中的用户信息，并且用当前证书私钥进行申请信息的签名；
   • 2） 证书自助服务网关接收到请求信息后，首先通过签名验签用户身份，然后将用户信息发送到数字证书认证系统的注册审核服务器进行审核；
   • 3） 注册审核服务器首先验证申请者签名信息核实用户身份，验证通过后，通过提交的用户信息查询该机构数据中已有的报刊/人员的登记，如果查询到的用户信息与提交的注册请求信息匹配，则自动进行审核操作，否则将注册申请信息入库，等待信息审核员人工审核；
   • 4） 注册请求信息通过审核后，用户可通过自助服务网关的证书下载页面完成证书的下载安装过程。证书下载成功后，直接删除IC卡原有的证书及密钥；
   • 5） 因为证书注册审核过程保证了新证书中的用户信息与原有证书中的用户信息完全一致，所以新证书可以直接在原有系统进行使用，不需要对原有应用系统进行改造。

四、网络拓扑

图 应用安全设备部署拓扑图

五、用户收益

1. 改造后，由之前的“微软CA系统”升级为“国产数字证书认证系统”。
2. 用户自助完成个人证书的更新操作，减少管理员参与环节，加速更新过程。
3. 更新后的证书可直接在应用系统使用。
4. IC卡内原有证书与密钥被清除。