吉大正元数字签名服务器安装部署手册COM版VCTKS接口

中国金融认证中心China Financial Certification AuthorityCFCA工具包_服务器端(C版)接口定义Version 2.0.0.1目录1说明 (4)2整体结构 (4)3支持系统 (4)4接口定义 (4)4.1 加密库会话管理 (4)4.1.1 初始化加密库 (4)4.1.2 释放加密库 (4)4.1.3 打开加密库会话 (5)4.1.4 关闭会话 (5)4.2 证书解析 (5)4.2.1 构造公钥证书(.cer)证书 (5)4.2.2 解析证书扩展域 (6)4.2.3 解析证书链文件 (6)4.2.4 获得PFX中的私钥和证书 (6)4.3 验证证书有效性 (7)4.3.1 验证有效期、签名和离线吊销列表 (7)4.3.2 验证有效期、签名和在线吊销列表 (8)4.4 PKCS#1消息签名验签 (8)4.4.1 消息签名 (8)4.4.2 验证消息签名 (9)4.5 PKCS#7消息签名验签 (9)4.5.1 对消息分离、非分离式签名（同时签名） (9)4.5.2 对消息分离、非分离式签名（联合签名） (10)4.5.3 验证非分离式消息签名 (10)4.5.4 验证分离式消息签名 (11)4.6 PKCS#7文件签名验签 (11)4.6.1 设置文件操作时每次读取的长度 (11)4.6.2 分离式、非分离式文件签名（同时签名） (12)4.6.3 分离式、非分离式文件签名（联合签名） (12)4.6.4 验证非分离式文件签名 (13)4.6.5 验证分离式文件签名 (13)4.6.6 计算文件的签名值 (14)4.7 PKCS#7 消息加密解密（数字信封） (15)4.7.1 消息加密（数字信封） (15)4.7.2 消息解密（数字信封） (15)4.8 PKCS#7 文件加密解密（数字信封） (16)4.8.1 设置文件操作时每次读取的长度 (16)4.8.2 文件加密(数字信封) (16)4.8.3 文件解密(数字信封) (17)4.9 文摘 (17)4.7.14对消息做文摘 (17)4.7.15对文件做文摘 (18)4.10 密钥产生接口 (19)4.10.1 产生随机数 (19)4.10.2 产生对称密钥 (19)4.10.3 从硬件设备中获取密钥对句柄 (19)4.11 加解密接口 (20)4.11.1 对称、非对称加密 (20)4.11.2 对称、非对称解密 (21)4.11.3 口令加密 (21)4.11.4 口令解密 (22)4.12 Base64接口 (22)4.12.1 BASE64编码 (22)4.12.2 BASE64解码 (22)4.13 缓存接口 (23)4.13.1 申请数据缓存 (23)4.13.2 释放数据缓存 (23)4.13.3 释放密钥缓存 (23)4.13.4 释放证书上下文 (24)4.13.5 释放证书扩展域上下文 (24)4.14 获取错误信息接口 (24)4.15 获取版本信息 (24)5数据结构 (25)5.1 基本数据结构 (25)5.2 证书上下文数据结构 (25)5.3 证书扩展上下文数据结构 (26)5.4 动态库版本数据结构 (28)6自定义常量 (29)6.1 签名算法及产生签名密钥类型 (29)6.2 产生对称密钥类型及对称加密算法 (29)6.3 口令加密算法 (30)6.4 设备类型 (31)6.5 证书及CRL扩展域 (31)6.6 证书状态 (31)1说明该文档描述了针对CFCA工具包2.0需求定义的C版服务器端接口说明，主要包括对称密钥产生、加密设备非对称密钥对的获取、证书解析、在线和离线证书验证、PKCS#1签名验证、PKCS#7分离非分离式消息和文件形式签名验证、PKCS#7标准消息和文件形式数字信封制作和打开、BASE64编解码等功能。

JIT Cinas 身份认证网关程序员手册T系列吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1 受保护应用如何取得证书信息 (3)1.1 证书主题 (3)1.2 证书序列号 (3)1.3 证书颁发者主题 (4)1.4 证书起始有效期 (4)1.5 证书终止有效期 (4)1.6 整张证书的Base64编码 (5)1.7 用户客户端IP (5)2 受保护应用如何取得权限信息 (5)3 受保护应用绝对路径问题 (6)3.1 绝对路径 (6)4 附录：管理员如何填写受保护应用信息 (7)4.1 应用名称 (7)4.2 应用标识 (7)4.3 访问级别 (8)4.4 传输级别 (9)4.5 主应用服务器地址 (10)4.6 备用应用服务器地址和端口号 (10)4.7 配置向受保护应用传输的用户信息 (11)2 吉大正元信息技术股份有限公司1受保护应用如何取得证书信息受保护的应用可以在HTTP Header中接收身份认证网关系统中传递过来的证书信息，要注意的是这里只能接收用户在应用管理中选定的证书信息项。

具体取证书信息的方法如下：1.1 证书主题由于证书主题中可能含有中文，所以在取回主题信息后要进行中文转码JSP中的获取方法：String DN = new String(request.getHeader("dnname").getBytes( "ISO8859-1"),"GB2312");ASP中的获取方法：info = Request.ServerVariables("HTTP_DNNAME")1.2 证书序列号JSP中的获取方法：String SN = request.getHeader("serialnumber")ASP中的获取方法：info = Request.ServerVariables("HTTP_SERIALNUMBER")3 吉大正元信息技术股份有限公司1.3 证书颁发者主题由于证书颁发者主题中可能含有中文，所以在取回颁发者主题信息后要进行中文转码JSP中的获取方法：String Issuer = new String(request.getHeader("issuerdn ").getBytes("ISO8859-1"),"GB2312");ASP中的获取方法：info = Request.ServerVariables("HTTP_ISSUERDN")1.4 证书起始有效期JSP中的获取方法：String notbefore = request.getHeader("notbefore")ASP中的获取方法：info = Request.ServerVariables("HTTP_NOTBEFORE")1.5 证书终止有效期JSP中的获取方法：String notafter = request.getHeader("notafter")ASP中的获取方法：4 吉大正元信息技术股份有限公司info = Request.ServerVariables("HTTP_NOTAFTER")1.6 整张证书的Base64编码JSP中的获取方法：String certbybase64 = request.getHeader("certinfo")ASP中的获取方法：info = Request.ServerVariables("HTTP_CERTINFO")1.7 用户客户端IPJSP中的获取方法：String clientip = request.getHeader("clientip")ASP中的获取方法：info = Request.ServerVariables("HTTP_CLIENTIP")2受保护应用如何取得权限信息受保护的应用可以在HTTP Header中接收身份认证网关系统中传递过来的权限信息，由于权限信5 吉大正元信息技术股份有限公司息中可能含有中文，所以在取回权限信息后要进行中文转码，方法如下：JSP中的获取方法：String privilege = new String(request.getHeader("privilege ").getBytes("ISO8859-1"),"GB2312");ASP中的获取方法：info = Request.ServerVariables("HTTP_PRIVILEGE")3受保护应用绝对路径问题身份认证网关系统所保护的应用如果有绝对路径或根相对路径时会出现一些在转发之后找不到某些资源页面的问题3.1 绝对路径绝对路径是指被保护的网页中指定了绝对路径连接，例如<ahref=/other/2005-08-09/1957688133.shtml >ttt </a>，这种连接会直接去访问被指定的地址，不会经过身份认证网关系统的保护。

身份认证网关I系列用户手册V2.2.3吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (1)1.1编写目的 (1)2布署结构图 (1)3安装配置 (1)3.1介绍 (1)3.2W EB管理配置流程 (2)3.2.1安装管理员证书 (2)3.2.2系统管理员登录并配置 (5)3.2.3安全保密管理员登录并配置 (7)3.2.4审计管理员登录并配置 (12)4功能详解及使用方法 (14)4.1应用管理 (14)4.1.1添加应用 (14)4.1.2修改应用 (15)4.1.3删除应用 (16)4.2服务器管理 (16)4.2.1服务端口设置 (16)4.2.2申请站点证书 (17)4.2.3导入站点证书 (17)4.2.4导出站点证书 (18)4.2.5配置许可证 (19)4.2.6当前服务状态 (19)4.3认证管理 (20)4.3.1证书认证配置 (20)4.3.2口令认证配置 (23)4.4访问控制管理 (25)4.4.1访问控制设置 (25)4.4.2应用级访问控制 (25)4.4.3规则管理 (26)4.5P ORTAL页面定制 (29)4.5.1设置隐藏应用 (29)4.5.2设置默认Portal (30)4.5.3定制Portal页 (30)4.5.4定制登录页 (31)4.6相关产品设置 (31)4.6.1UMS配置 (31)4.6.2PMS配置 (32)4.6.4配置应用代码 (33)4.6.5配置默认权限 (33)4.7SSO管理 (34)4.7.1令牌设置 (34)4.7.2认证地址配置 (34)4.7.3应用从账号管理 (35)4.7.4模拟代填设置 (36)4.7.5在线用户 (37)4.8管理员配置 (37)4.8.1配置管理员证书 (37)4.8.2配置管理员根证书 (38)4.8.3管理员IP设置 (39)4.8.4管理员IP列表 (39)4.9日志管理 (39)4.9.1配置系统日志 (39)4.9.2查询系统日志 (40)4.9.3日志空间预警 (41)4.9.4日志打包下载 (42)4.10系统设置 (42)4.10.1网卡设置 (42)4.10.2配置DNS服务 (42)4.10.3本地HOSTS配置 (43)4.10.4静态路由设置 (43)4.10.5系统硬件信息 (43)4.10.6系统时间设置 (44)4.10.7可信时间源设置 (44)4.10.8手动同步设备时间 (44)4.10.9服务器启停 (45)4.11系统维护 (45)4.11.1恢复出厂默认值 (45)4.11.2备份恢复 (45)4.11.3系统升级 (46)4.12硬件管理 (46)4.12.1HA服务管理 (46)4.12.2网络诊断管理 (47)4.12.3SNMP服务管理 (50)4.12.4系统监控 (52)4.12.5网络监控 (53)5常见问题解答(FAQ) (55)5.1A GENT无法做重定向认证 (55)6附录模拟代填工具 (58)6.1.1CS模拟代填工具说明 (58)6.1.2CS模拟代替工具使用方法 (58)6.2附录2BS模拟代填 (61)6.2.1BS代填模板说明 (61)6.2.2BS代填工具使用方法 (62)1引言1.1 编写目的身份认证网关对外提供身份认证服务前需要对网关自身进行一系列的参数设置，为提高网关服务系统的易用性，我们提供专门的服务配置管理平台和WEB方式的操作界面，方便管理员对网关服务系统进行管理操作。

数字签名服务器v2.1.1安装部署手册（VSTK接口 COM版）V2.1.1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (2)1.1概述 (2)1.2开发平台及编程语言 (2)1.3名词解释 (2)2程序部署 (3)2.1W INDOWS环境部署 (3)2.1.1安装 (3)2.1.2验证 (7)2.2示例说明（以A TTACH签名为例） (8)3接口说明 (9)4配置文件概述 (10)5示例代码 (10)6常见问题 (11)6.1编码转换 (11)6.2替换旧版VCTK (11)6.3过滤U KEY (11)6.4证书支持 (11)6.5CA发证 (11)6.6双证书过滤问题 (12)6.7非大文件接口的文件大小限制 (13)1引言1.1 概述该接口是以COM组件的形式提供签名服务。

主要完成以下功能接口：⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows 7 + sp1⏹编程语言C++⏹开发工具VC++ 2010 + sp11.3 名词解释●Digital Certificate（数字证书）Digital Certificate，是由国家认可的，具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。

数字证书包含公开密钥拥有者信息以及公开密钥的文件。

●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式：安装包和网页。

数字签名服务器财政行业版产品白皮书Version有意见请寄中国·北京市海淀区知春路113号银网中心B座12层电话：86-0 传真：86-0吉大正元信息技术股份有限公司目录1前言............................................................................................................. 错误!未定义书签。

背景概述 .................................................................................................. 错误!未定义书签。

术语和缩略语 .......................................................................................... 错误!未定义书签。

2产品概述 ..................................................................................................... 错误!未定义书签。

产品简介 .................................................................................................. 错误!未定义书签。

产品结构 .................................................................................................. 错误!未定义书签。

部署结构 .................................................................................................. 错误!未定义书签。

吉大正元时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司Jilin University Information TechnologiesCo., Ltd.目录1.引言31.1.概述31.2.定义32.安装配置42.1.介绍42.1.1.V200042.2.连接安装43.功能详解及使用方法63.1.可信时间戳管理63.1.1.管理可信时间源错误!未定义书签。

3.1.2.证书管理63.1.3.时间戳数据管理93.1.4.服务监控103.1.5.权限管理123.1.6.业务日志123.2.系统管理143.2.1.站点证书管理错误!未定义书签。

3.2.2.信任根证书管理错误!未定义书签。

3.2.3.权限管理183.2.4.数据库配置183.2.5.许可证配置193.3.设备管理193.3.1.网络设置193.3.2.HA服务管理223.3.3.网络诊断管理253.3.4.SNMP服务管理263.3.5.系统监控273.3.6.网络监控283.3.7.系统时间设置293.4.系统维护293.4.1.系统备份错误!未定义书签。

3.4.2.系统恢复错误!未定义书签。

3.4.3.系统升级错误!未定义书签。

3.5.审计管理303.5.1.查看审计信息错误!未定义书签。

3.5.2.更新安全审计员证书错误!未定义书签。

4.常见问题解答(FAQ)344.1.服务安装后无法启动344.2.服务启动后无法进入管理界面341.引言1.1. 概述随着互联网浪潮的到来，电子交易已逐渐进入我们的生活，电子购物将逐渐成为我们生活的一部分。

随着电子交易的普及，电子交易的安全逐渐成为人们关注的主题。

那么如何确保电子交易的交易安全呢？目前普遍采用的是公钥基础设施（PKI）。

PKI可以在电子化社会中建立人们之间的信任关系。

但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。

因为要实现防抵赖，不仅需要对交易数据进行数字签名，还必须保证此交易数据在某一时间(之前)的存在性（Proof-of-Existence）。

JIT Cinas 身份认证网关使用手册Cinas-T 2.2.30吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.更新记录2JIT Cinas身份认证网关T系列使用手册目录1引言 (1)1.1编写目的 (1)2网络结构 (1)3安装配置 (1)3.1介绍 (1)3.1.1T100/T200 (1)3.1.2T600 (2)3.2配置流程 (2)3.2.1安装管理员证书 (2)3.2.2安全管理员登录并配置 (5)3.2.3系统管理员登录并配置 (8)3.2.4审计管理员登录并配置 (11)3.2.5配置应用 (12)3.2.6通过portal访问应用 (14)4其他功能详解及使用方法 (15)4.1应用管理 (16)4.1.1添加后台应用 (16)4.1.2修改后台应用 (19)4.1.3删除后台应用 (20)4.1.4单点登录配置 (20)4.2服务器管理 (23)4.2.1服务器监控 (23)4.2.2配置许可证 (23)4.2.3配置信任根证书 (24)4.2.4配置证书状态验证 (25)4.3访问控制管理 (27)4.3.1应用访问控制 (28)4.3.2资源访问控制 (28)4.4管理员管理 (29)4.4.1配置管理员证书 (29)4.4.2管理员IP设置 (30)4.4.3管理员IP列表 (30)4.5P ORTAL页面定制 (30)4.5.1设置隐藏应用 (30)4.5.2设置默认Portal (30)4.5.3定制Portal页 (31)4.6用户管理 (31)4.6.1管理从帐号 (31)4.7设备管理 (32)4.7.1设备注册 (32)4.7.2设备审核 (33)吉大正元信息技术股份有限公司 14.7.3设备维护 (33)4.8相关产品配置 (33)4.8.1配置UMS&PMS (33)4.8.2配置应用代码 (34)4.9客户端配置 (34)4.9.1客户端监听配置 (34)4.9.2客户端超时设置 (35)4.10日志管理 (35)4.10.1配置系统日志 (35)4.10.2查询系统日志 (36)4.10.3记录资源设置 (37)4.10.4日志空间预警 (37)4.10.5日志打包下载 (37)4.11系统设置 (38)4.11.1静态DNS设置 (38)4.11.2静态路由设置 (38)4.11.3系统硬件信息 (38)4.11.4系统时间设置 (38)4.11.5服务器启停 (39)4.12系统维护 (39)4.12.1恢复出厂默认值 (39)4.12.2备份恢复 (39)4.12.3数据升级 (39)5常见问题解答 (40)5.1无法登录到管理界面 (40)5.2用户证书已被吊销 (40)5.3用户无权访问该资源 (40)5.4在PORTAL页面看不到要访问的应用 (40)5.5控件没有生效 (40)2JIT Cinas 身份认证网关T 系列 使用手册吉大正元信息技术股份有限公司 11 引言1.1 编写目的JIT Cinas 身份认证网关是用于服务器端建立安全通信信道，进行身份认证的硬件设备，通过数字证书实现用户与服务器之间的通信与交易安全并验证用户身份，满足用户对于信息传输的安全性及身份认证的需要。