? 证书发放流程
证书发放流程是证书业务中最为重要的流程,恰当合理的证书发放流程将会大大提高证书申请效率,减少管理员和最终用户的误操作率。我们在设计证书申请流程时主要考虑下面几点:
(1) 申请流程安全高效; (2) 与银企互联业务模式相符; (3) 与用户原来工作习惯一致;
? 证书用户类型分析
不同的用户,其工作方式和工作习惯是不相同的,我们可以原则性将华润集团资金管理系统现有需要使用数字证书的用户划分为两类: (1) 高管用户:高管用户通常忙于集团总部的策略、方针和管理工作,人员
数量相对要比普通员工少得多,因此我们建议高管用户的证书申请由管理员代为申请;
(2) 普通员工用户:普通员工用户数量大,因此我们建议大部分的普通员工
证书申请由员工自己申请。
? 用户鉴别模式分析
资金管理系统证书应用范围主要面向集团内部用户发放,其用户鉴别要求相对互联网外部电子商务用户的鉴别要求要低得多,因此我们可以考虑结合使用通行码来完成身份鉴别。
? 证书申请信息录入模式分析
考虑到华润集团内部信息化程度较高,业务系统中已经创建了用户帐号信息,因此,可以不需要用户自行录入而采用接口程序实现用户证书申请数据直接从现有业务系统帐号数据库读出供用户证书申请直接使用。
? 用户证书申请流程设计
针对高管的证书申请流程
? RA管理员将需要申请证书的领导工号信息录入到注册系统,从业务系
统调取相应信息录入RA注册系统;如果采用第三方服务模式或SAAS模式,RA系统无法与华润集团内部业务系统进行集成整合,此时需
要华润集团向第三方服务提供商或SAAS服务提供商提供相应的注册信息;
? 注册系统返回用于识别用户身份的通行码; ? RA管理员登录证书申请WEB页面; ? 输入工号和用于鉴别用户身份的通行码;
? 注册系统将输入的工号作为索引到业务系统帐号信息把与该用户帐
号申请证书信息相关的信息(如姓名等,可以华润集团实际需求进行定制)返回注册系统;
? 如果通行码验证通过,RA管理员根据系统提示插入USB KEY作为证书
存储介质;
? USB KEY产生密钥对,其中公钥信息和用户注册信息一起通过注册系
统上传到CA系统来签发用户证书;
? 证书签发完毕返回管理员,然后系统将证书写入USB KEY内; ? 管理员将装有数字证书的USB KEY交给高管使用。 针对普通员工的申请流程
? 申请证书的普通员工登录证书申请页面,输入注册信息;
? RA管理员登录管理中心,审核用户注册信息,并批准(华润集团可根
据实际情况设置多管理员会审机制,多个管理员都批准后,该证书申请才生效);
? 系统产生下载PIN码,并自动以邮件或短信的方式将PIN发送给最终
用户(客户注册的手机或邮箱信息必须正确); ? 最终用户登录证书申请WEB页面;
? 输入鉴别用户身份的PIN码,并插入USB Key;
? USB Key产生密钥对,其中公钥信息和用户注册信息一起通过注册系
统上传到CA系统来签发用户证书;
? 证书签发完毕返回用户端,然后系统将证书写入到USB Key内; 如果采用第三方服务的建设模式,华润集团需在用户注册证书前,将用户名录发送给第三方服务机构,第三方服务机构RA管理员针对名录核实用户注册信息。
? 证书吊销流程
在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据华润集团资金管理系统的应用情况,本方案设计证书吊销由管理员进行,其工作流程如下:
? 管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,
请求吊销自己的证书时,管理员访问CA系统管理员模块,进行用户证书吊销用户;
? 管理员通过证书管理功能页面,查询到需要吊销的用户证书; ? 管理员选择吊销操作,选择吊销用户证书的原因,向CA系统发送证
书吊销请求;
? CA系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将
吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;
? CA系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,
告诉用户证书已经被吊销,不能再使用自己的证书。
如果采用第三方服务的建设模式,华润集团需向第三方服务机构提交待吊销用户名录,第三方服务机构RA管理员针对名录吊销客户证书。 ? 证书更新流程
最终用户在其证书即将过期之前,会接到证书系统发出的证书到期更新通知,并告知用户需要登录证书注册系统进行证书更新操作。用户更新自己的证书,其流程为:
? 最终用户在接到证书更新请求后,登录用户服务页面,点击“证书更新”
选项;
? 系统自动识别用户是否具有华润集团银企互联CA系统颁发的数字证书,
并且判断是否过期,如果即将过期,便提示进行更新;
? 用户选择需要更新的证书,点击提交,向CA系统提交证书更新请求。在
提交证书更新请求时,在USB Key中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新请求,提交给CA系统;
? CA系统自动批准证书更新请求,自动更新用户证书,将更新的证书发布
到目录服务器,同时将更新证书返回到用户端,自动保存到USB Key中。 在华润集团资金管理项目中,各个资金中心可能会根据自身需要建立适合业务特点的证书管理流程和方式,因此,CA系统的证书发放流程需要能够灵活多样或易于定制,至少应包含如下的证书发放方式:
1、
在线申请方式:用户通过登录证书申请页面,填写用户信息,然后提交到RA数据库,之后RA管理员登录系统来审批,审批通过后,系统给用户发邮件,告知相关证书下载信息,用户自行登录到证书下载页面进行证书下载安装;
2、
PASSCODE方式:RA管理员预先制定一批PASSCODE(随机数),并将该PASSCODE发放给内部员工,内部员工登录证书注册页面,填写注册信息及PASSCODE,系统核对PASSCODE后立即签发数字证书,该模式类似于通信/网游领域充值卡的发放流程。CA系统还应允许通行码与固定规则捆绑(域名、单位名称等)功能,华润集团RA管理员可将通行码发送给下属分支机构,由下属分支机构自行决定如何发放通行码,最终用户申请证书时需输入通行码,依靠这种方法,总部RA管理员能够对证书发放数量、证书实体的对应关系(由绑定规则约束)进行有效控制,同时把证书发放工作量分担给下属分支机构;
3、
自动模式:CA系统需提供标准接口,可以与其他业务系统进行集成,用户申请证书时可将注册信息与业务系统数据库进行比较,以决定改用户身份是否合法。如:可以与域登录服务器集成,用户在注册时必须提供域登录口令,CA通过集成接口将该口令提交至域登录服务器,验证通过后自动签发数字证书;
4、
RATookit方式:为适应华润集团不同的资金中心对证书发放和管理的定制化需求,CA系统需提供一组RA集成接口或WEB Service接口,可将证书申请流程与业务系统集成,在业务系统中完成证书申请/审批/下载过程。如:将CA与ERP系统集成,员工无须在OA系
统和CA系统中分别注册或开户,统一操作,同时完成两套系统的开户或注册操作。