自建CA認(rèn)證系統(tǒng)實(shí)用方案

1、自建CA認(rèn)證系統(tǒng)實(shí)用方案一、CA認(rèn)證系統(tǒng)建設(shè)的背景1.1 網(wǎng)絡(luò)身份認(rèn)證風(fēng)險(xiǎn)如何認(rèn)證互聯(lián)網(wǎng)業(yè)務(wù)中對(duì)方的身份，是制約信息產(chǎn)業(yè)發(fā)展的瓶頸，身份認(rèn)證問(wèn)題亟待解決：（圖一) 身份認(rèn)證是第一道防線縱使是固若金湯的保險(xiǎn)庫(kù)，非法分子一旦掌握了打開大門的鑰匙，保險(xiǎn)重地將會(huì)變成了竊賊的后院。業(yè)務(wù)系統(tǒng)即使被防火墻、入侵監(jiān)測(cè)、防病毒等邊界系統(tǒng)保護(hù)，一旦入侵者冒充合法身份進(jìn)入，系統(tǒng)安全蕩然無(wú)存?；谟脩裘?口令的認(rèn)證方式是最常用的一種技術(shù)，也是現(xiàn)在財(cái)務(wù)系統(tǒng)使用的認(rèn)證方式，無(wú)論是數(shù)據(jù)網(wǎng)中的系統(tǒng)管理、業(yè)務(wù)管理、辦公自動(dòng)化系統(tǒng)還是遠(yuǎn)程登錄，都是基于用戶名和口令的方式認(rèn)證。 基于用戶名/口令的認(rèn)證方式存在嚴(yán)重的安全問(wèn)題，是攻擊

2、者最容易攻擊的目標(biāo)： 1) 單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。2) 為記憶方便，是用戶往往選擇簡(jiǎn)單、容易被猜測(cè)的口令，如：與用戶名相同的口令、生日、單詞等。這往往成為安全系統(tǒng)最薄弱的突破口。 3) 口令一般是經(jīng)過(guò)加密后存放在口令文件中，如果口令文件被竊取，那么就可以進(jìn)行離線的字典式攻擊。這也是黑客最常用的手段之一。 最近屢屢爆出的口令泄密事件，如CSDN、天涯、新浪微博、廣東省進(jìn)出境管理都是身份認(rèn)證方式選擇不當(dāng)引起的。而弱認(rèn)證帶來(lái)的經(jīng)濟(jì)損失更是觸目驚心，江蘇郝金龍利用計(jì)算機(jī)入侵揚(yáng)州某銀行計(jì)算機(jī)網(wǎng)絡(luò)，修改賬戶信息，大肆竊取現(xiàn)金。黑客利用釣魚網(wǎng)站獲取網(wǎng)銀用戶賬號(hào)密碼以

3、及動(dòng)態(tài)密碼， 浙江樂(lè)清市陳女士網(wǎng)銀被竊200萬(wàn)元 。1.2 信息泄露風(fēng)險(xiǎn)傳輸在客戶端與Web服務(wù)器之間的敏感、機(jī)密信息和交易數(shù)據(jù)，如資金調(diào)撥、資金往來(lái)、個(gè)人賬戶信息等，這些數(shù)據(jù)都是保密的數(shù)據(jù)，一旦被競(jìng)爭(zhēng)對(duì)手或者非法分子獲得，將會(huì)給企業(yè)財(cái)務(wù)系統(tǒng)帶來(lái)致命威脅。互聯(lián)網(wǎng)的開放特性使得任何跨機(jī)房傳輸?shù)男畔⒖赡鼙唤厝?，被非法用戶加以利用，給用戶和企業(yè)造成損失。目前使用最多的一些互聯(lián)網(wǎng)抓包工具如sniffer，具備初級(jí)計(jì)算機(jī)應(yīng)用水平就能操作自如。萊鋼的泄密事件給企業(yè)、國(guó)家?guī)?lái)的了巨大損失，在全國(guó)范圍內(nèi)掀起了一場(chǎng)保密風(fēng)暴。通過(guò)數(shù)據(jù)加密進(jìn)行信息隱藏是行之有效的解決方法，非法分子即使能夠竊聽網(wǎng)上交易數(shù)據(jù)，但沒(méi)有破

4、解的密碼鑰匙，機(jī)密信息無(wú)法讀懂。信息泄露，尤其是用戶名+口令的認(rèn)證信息泄露，將會(huì)給業(yè)務(wù)系統(tǒng)帶來(lái)致命風(fēng)險(xiǎn)：（圖二) 信息泄露示例1.3 法律和責(zé)任風(fēng)險(xiǎn)財(cái)務(wù)管理系統(tǒng)中重要單據(jù)如合同、標(biāo)書、轉(zhuǎn)賬、結(jié)算、報(bào)表等傳輸中的完整性至關(guān)重要，通過(guò)開放的互聯(lián)網(wǎng)，敏感數(shù)據(jù)在傳輸過(guò)程中很可能被惡意篡改、重發(fā)，使得接收方不能得到完整的信息，網(wǎng)上交易時(shí)經(jīng)常會(huì)由于對(duì)發(fā)送的信息進(jìn)行抵賴而引起不必要的糾紛和問(wèn)題，給交易的雙方帶來(lái)巨大的影響和損失，網(wǎng)上交互（交易）行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來(lái)作為仲裁的依據(jù)（無(wú)論是司法取證還是內(nèi)部管理追溯或者審計(jì)），法律和責(zé)任風(fēng)險(xiǎn)無(wú)法控制。電子簽名法明確定義了數(shù)字簽名

5、具有和手寫簽名同等的法律效力，因此在財(cái)務(wù)管理系統(tǒng)中對(duì)關(guān)鍵表單進(jìn)行數(shù)字簽名是保護(hù)企業(yè)合法權(quán)利的有效辦法。下圖為互聯(lián)網(wǎng)交易中，消息篡改示例：（圖三) 信息篡改示例二、CA認(rèn)證系統(tǒng)建設(shè)的必要性2.1國(guó)家法規(guī)政策要求必須加強(qiáng)身份認(rèn)證管理商用密碼管理?xiàng)l例中第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室聯(lián)合發(fā)布了信息安全等級(jí)保護(hù)管理辦法，以及一系列針對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)的要求，對(duì)于身份認(rèn)證和通訊加密提出了明確要求。電子簽名法第4，5，6，13條對(duì)于合法簽名的定義，要求

6、必須使用基于PKI/CA的強(qiáng)身份認(rèn)證管理。（圖四) 符合電子簽名法2.2企業(yè)內(nèi)控必須加強(qiáng)身份認(rèn)證管理隨著薩班斯法案的推廣和實(shí)施，目前海內(nèi)外公司都在進(jìn)行一場(chǎng)IT內(nèi)控的變革，而無(wú)論是COSO還是Cobit，以及安全指南的ISO17799都無(wú)一例外地將身份識(shí)別定位為首要解決的關(guān)鍵問(wèn)題。有效的身份識(shí)別方式才能夠?yàn)樽匪菪袨楹拓?zé)任體系，審計(jì)證據(jù)鏈提供最有效和最有力的支撐。 2.3整體安全需要加強(qiáng)身份認(rèn)證管理 根據(jù)安全的木桶理論，身份認(rèn)證作為業(yè)務(wù)系統(tǒng)安全的基石，采用強(qiáng)身份認(rèn)證是保證整體安全的前提。采用密碼理論構(gòu)建的證書認(rèn)證體系，其安全性等同于破解“大整數(shù)分解”、“離散對(duì)數(shù)”等數(shù)學(xué)難題，是可證安全的，并被廣泛

7、采用。三、CA認(rèn)證系統(tǒng)集成方案 CA安全認(rèn)證平臺(tái)基于 PKI/CA 技術(shù)能夠解決身份假冒問(wèn)題、數(shù)據(jù)泄露問(wèn)題、 信息篡改問(wèn)題、安全審計(jì)問(wèn)題。平臺(tái)中的 CA 認(rèn)證系統(tǒng)采用自建模式，符合國(guó)家密碼管 理局制定的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范，企業(yè)自我維護(hù)和管理、發(fā)放數(shù)字證書，通過(guò)電子簽名中間件與 用戶財(cái)務(wù)系統(tǒng)集成實(shí)現(xiàn)基于 U 盾（密碼令牌）的強(qiáng)身份認(rèn)證、防止公網(wǎng)竊聽、保障信息不被非法修改、實(shí)現(xiàn)業(yè)務(wù)審計(jì)，通過(guò)數(shù)字證書這種安全技術(shù)來(lái)打造全新的誠(chéng)信體系，全方位保證企業(yè)的信息安全。3.1 CA認(rèn)證系統(tǒng)介紹CA 認(rèn)證系統(tǒng)是平臺(tái)的核心部件，用于向平臺(tái)應(yīng)用提供數(shù)字證書管理支持，是網(wǎng)上信任管理的權(quán)威機(jī)關(guān)，CA安

8、全認(rèn)證系統(tǒng)采用瀏覽器/服務(wù)器（B/S）模式，系統(tǒng)管理員通過(guò)瀏覽器可以遠(yuǎn)程進(jìn)行用戶證書的申請(qǐng)、更新、注銷、下載等操作，部署靈活，操作簡(jiǎn)單。（圖五) CA系統(tǒng)結(jié)構(gòu)圖3.2 功能說(shuō)明CA系統(tǒng)具有高強(qiáng)度的自身安全管理功能，提供用戶數(shù)字證書、密鑰的 安全管理，通過(guò)U盾存放用戶數(shù)字證書，具體功能包括：(1)證書和證書黑名單管理：提供基于U盾的用戶數(shù)字證書申請(qǐng)、審核、下載、更新、注銷、恢復(fù)等管理，定時(shí)簽發(fā)或者手工簽發(fā)證書黑名單，并進(jìn)行發(fā)布，證書黑名單中的數(shù)字證書將不再受信任。(2)用戶密鑰管理：用戶數(shù)字證書中的密鑰由密鑰管理模塊生成，該模塊提供非對(duì) 稱密鑰對(duì)的預(yù)生成、用戶密鑰對(duì)分發(fā)、密鑰對(duì)恢復(fù)、用戶密鑰取證

9、恢復(fù)等管理功能。(3)證書狀態(tài)在線查詢功能：提供用戶證書狀態(tài)的在線實(shí)時(shí)查詢功能，已經(jīng)注銷的 數(shù)字證書將不能在應(yīng)用系統(tǒng)中使用。(4)密碼服務(wù)：提供業(yè)務(wù)操作的密碼運(yùn)算功能，包括數(shù)據(jù)加密/解密、消息簽名/驗(yàn) 證，從業(yè)務(wù)層面保護(hù)機(jī)密信息的安全性。(5)靈活的證書服務(wù)：產(chǎn)品功能豐富，支持用戶身份的集中管理、分布式管理，所有證書狀態(tài)改變，都通過(guò)電子郵件進(jìn)行通知。(6)遠(yuǎn)程設(shè)備證書管理：支持國(guó)內(nèi)外主流網(wǎng)絡(luò)設(shè)備的SCEP遠(yuǎn)程證書申請(qǐng)，包括路由器、網(wǎng)關(guān)、VPN、防火墻等。(7)移動(dòng)應(yīng)用支持：采用硬件綁定的軟證書，充分保障移動(dòng)應(yīng)用的安全性，支持安卓操作系統(tǒng)、iOS系統(tǒng)，支持多瀏覽器如IE系統(tǒng)、Firefox、So

10、fari、Chrome等。(8)安全審計(jì)：提供關(guān)鍵業(yè)務(wù)操作的審計(jì)功能，對(duì)業(yè)務(wù)操作進(jìn)行簽名，并采用日志完整性保護(hù)技術(shù)，確保審計(jì)數(shù)據(jù)庫(kù)中的操作信息一經(jīng)刪除，能夠及時(shí)提醒，并追溯到具體的責(zé)任人。3.3 系統(tǒng)特性 強(qiáng)認(rèn)證：用戶通過(guò)硬件U 盾（或USB key）認(rèn)證登錄，基于證書的雙因子認(rèn)證徹底解決登錄的安全問(wèn)題。 強(qiáng)密碼：基于密碼硬件提供高強(qiáng)度的密碼算法進(jìn)行數(shù)據(jù)加密傳輸，防止信息泄露。 強(qiáng)審計(jì)：自建 CA 系統(tǒng)具有電子簽名法的法律效力，保障數(shù)據(jù)不被非法篡改，信息和 操作可溯源，責(zé)任落實(shí)到操作人。 強(qiáng)自保：安全認(rèn)證系統(tǒng)自身采用多級(jí)管理體系，使用密碼硬件進(jìn)行密鑰管理，充分保障系統(tǒng)自身的安全性。 強(qiáng)擴(kuò)展：提

11、供關(guān)于集團(tuán)企業(yè)信息化安全的整體解決方案，使用同一個(gè)U 盾 可以擴(kuò)展到多種應(yīng)用系統(tǒng)。 高效率：提供局域網(wǎng)內(nèi)的在線證書實(shí)時(shí)驗(yàn)證服務(wù)，系統(tǒng)運(yùn)行效率高并且穩(wěn)定可靠。自建CA認(rèn)證系統(tǒng)模式，通過(guò)在財(cái)務(wù)系統(tǒng)服務(wù)器上部署CA認(rèn)證系統(tǒng)的集成接口，配置 財(cái)務(wù)系統(tǒng) 驗(yàn)證模式，可以實(shí)現(xiàn)CA認(rèn)證系統(tǒng)與財(cái)務(wù)系統(tǒng)系統(tǒng)的應(yīng)用集成。與財(cái)務(wù)系統(tǒng)系統(tǒng)同步升級(jí)，用戶自我維護(hù)和管理數(shù)字證書；支持多種證書應(yīng)用，實(shí)現(xiàn)一Key多用，系統(tǒng)部署簡(jiǎn)單、配置靈活；系統(tǒng)應(yīng)用廣泛，運(yùn)行穩(wěn)定、性能優(yōu)越，為客戶安全使用財(cái)務(wù)系統(tǒng)系統(tǒng)保駕護(hù)航。3.4 CA集成部署CA 系統(tǒng)部署：在財(cái)務(wù)系統(tǒng)服務(wù)器的同一個(gè)機(jī)房部署一套功能完善的安全認(rèn)證系統(tǒng)，用戶可以自行發(fā)放、管理

12、數(shù)字證書，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的用戶身份認(rèn)證、業(yè)務(wù)數(shù)據(jù)防篡改、信息加密傳輸、數(shù)據(jù)庫(kù)敏感數(shù)據(jù)加密等安全功能。 CA認(rèn)證系統(tǒng)：與財(cái)務(wù)系統(tǒng)服務(wù)器部署在同一個(gè)機(jī)房，硬件可選用普通PC服務(wù)器，支持mySql等免費(fèi)數(shù)據(jù)庫(kù)，使用PCI-E密碼卡提供CA密鑰保護(hù)和高速密碼運(yùn)算。 簽名中間件：以Java包形式部署在財(cái)務(wù)系統(tǒng)服務(wù)器，客戶端中間件自動(dòng)下載。 用戶存儲(chǔ)介質(zhì)：以Usb Key的形式為用戶提供證書管理支持。 SSL VPN網(wǎng)關(guān)：以獨(dú)立工控機(jī)硬件的形式部署在內(nèi)外網(wǎng)的接入口，為外網(wǎng)用戶使用財(cái)務(wù)系統(tǒng)系統(tǒng)提供安全接入，提供SSL加密通道。（圖六) CA部署方式3.5 財(cái)務(wù)系統(tǒng)集成流程CA系統(tǒng)頒發(fā)的數(shù)字證書通過(guò)U盾發(fā)給財(cái)務(wù)

13、系統(tǒng)用戶，實(shí)現(xiàn)基于數(shù)字證書的登錄管理和業(yè)務(wù)簽名/驗(yàn)簽、業(yè)務(wù)審計(jì)等功能。（圖七) CA與財(cái)務(wù)系統(tǒng)結(jié)合的處理流程（圖八) 財(cái)務(wù)系統(tǒng)集成CA證書應(yīng)用總體流程四、CA項(xiàng)目實(shí)施方案4.1項(xiàng)目管理為了保證CA項(xiàng)目順利實(shí)施，成立分工明確又能協(xié)調(diào)配合的項(xiàng)目組，采用項(xiàng)目經(jīng)理負(fù)責(zé)制，委派項(xiàng)目經(jīng)理負(fù)責(zé)項(xiàng)目中雙方工作的協(xié)調(diào)、安排、監(jiān)察等各種項(xiàng)目管理工作，確保項(xiàng)目質(zhì)量并達(dá)到預(yù)期目標(biāo)。 4.2方案制定項(xiàng)目經(jīng)理協(xié)同財(cái)務(wù)系統(tǒng)工程師與客戶進(jìn)行交流，根據(jù)項(xiàng)目合同要求，按照實(shí)施計(jì)劃和實(shí)施方案：(1) 制定實(shí)施計(jì)劃。(2) 制定實(shí)施方案。(3) 進(jìn)行風(fēng)險(xiǎn)管理。(4) 定期溝通項(xiàng)目進(jìn)展情況.4.3環(huán)境準(zhǔn)備 （1）硬件準(zhǔn)備序號(hào)硬件名稱簡(jiǎn)

14、介配置情況備注1CA系統(tǒng)服務(wù)器提供用戶數(shù)字證書申請(qǐng)、審核、下載、更新、注銷等管理功能，是網(wǎng)上身份管理的權(quán)威機(jī)構(gòu)。PC服務(wù)器，1G內(nèi)存、CPU 1.2G Hz以上、320G硬盤以上、至少一個(gè)PCI-E插槽。1臺(tái)2加密卡為安全認(rèn)證系統(tǒng)提供密鑰管理、密碼運(yùn)算功能。 安裝在CA系統(tǒng)服務(wù)器，提供RSA、SM2、SM1、SM3算法支持。1塊3U盾提供用戶證書存儲(chǔ)功能，登錄系統(tǒng)時(shí)需要提供U盾，并驗(yàn)證口令。提供RSA、SM2、SM1、SM3算法支持，支持USB 2.0接口根據(jù)用戶數(shù)確定（表一) 系統(tǒng)硬件配置 （2）軟件準(zhǔn)備序號(hào)軟件名稱簡(jiǎn)介配置情況備注1CA安全認(rèn)證系統(tǒng)提供用戶數(shù)字證書申請(qǐng)、審核、下載、更新、注

15、銷等管理功能，是網(wǎng)上身份管理的權(quán)威機(jī)構(gòu)。安裝在CA系統(tǒng)服務(wù)器上，windows 2003或者Linux環(huán)境，連接Mysql數(shù)據(jù)庫(kù)2電子簽名中間件接口開發(fā)包，與財(cái)務(wù)管理系統(tǒng)集成完成身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等功能部署在業(yè)務(wù)服務(wù)器、OA服務(wù)器、物流系統(tǒng)、電子商務(wù)上面。（表二) 軟件配置4.4安裝調(diào)試(1) 環(huán)境準(zhǔn)備支持，協(xié)助客戶準(zhǔn)備系統(tǒng)實(shí)施的軟件和硬件環(huán)境。(2) 安裝操作系統(tǒng)、安裝數(shù)據(jù)庫(kù)。(3) CA系統(tǒng)安裝，并初始化。(4) 建立管理體系，設(shè)立管理員、操作員、審計(jì)員。(5) 安裝接口和服務(wù)器證書。(6) 配置CA Server。(7) 簽發(fā)測(cè)試證書，完成登錄、簽名/驗(yàn)簽業(yè)務(wù)的測(cè)試。(8) 完

16、成證書應(yīng)用的集成部署。4.5管理崗位設(shè)置CA認(rèn)證系統(tǒng)基于RBAC權(quán)限模型，進(jìn)一步提高了系統(tǒng)的安全性。分成證書操作員角色，證書審核員角色，密鑰管理員角色，系統(tǒng)管理員角色四個(gè)角色。企業(yè)可以根據(jù)自己的實(shí)際情況，和對(duì)安全的要求等級(jí)，選擇一個(gè)人擔(dān)任一個(gè)角色或者一個(gè)人擔(dān)任多個(gè)角色?？茖W(xué)嚴(yán)密的權(quán)限管理方案，如下圖：崗位名稱崗位職責(zé)設(shè)置流程超級(jí)管理員 按照公司的組織架構(gòu)，密碼安全管理策略對(duì)系統(tǒng)進(jìn)行初始化。 管理業(yè)務(wù)管理員、錄入操作員、審核操作員。CA初始化時(shí)生成審計(jì)管理員 日志管理。 業(yè)務(wù)審計(jì)、歸檔。 業(yè)務(wù)統(tǒng)計(jì)。CA初始化時(shí)生成業(yè)務(wù)管理員 系統(tǒng)配置管理。 管理CRL，子CA建立。 證書模板管理。超級(jí)管理員制作

17、業(yè)務(wù)管理員證書錄入操作員 負(fù)責(zé)對(duì)證書的申請(qǐng)、下載、廢除等操作；并維護(hù)證書與財(cái)務(wù)系統(tǒng)用戶標(biāo)識(shí)PK的綁定關(guān)系。 收到財(cái)務(wù)系統(tǒng)管理員的新增證書請(qǐng)求后，在CA系統(tǒng)中填寫申請(qǐng)單，提交給審核員。 簽發(fā)證書至證書介質(zhì)（USB Key）中。 在證書與用戶綁定系統(tǒng)中將證書（USB Key）與財(cái)務(wù)系統(tǒng)用戶綁定起來(lái)。 將證書（USB Key）交付給財(cái)務(wù)系統(tǒng)用戶，并在交付時(shí)雙方需填寫證書移交單。超級(jí)管理員制作錄入操作員證書審核操作員 對(duì)操作員提交的證書申請(qǐng)進(jìn)行審核，檢查核實(shí)信息的真實(shí)性。超級(jí)管理員制作審核操作員證書財(cái)務(wù)系統(tǒng)用戶 負(fù)責(zé)管理自己的證書（USB Key）； 從系統(tǒng)管理員處接收證書（USB Key），并填寫證

18、書移交單； 修改證書（USB Key）初始密碼，并通知財(cái)務(wù)系統(tǒng)管理員開通自己的財(cái)務(wù)系統(tǒng)用戶權(quán)限。錄入操作員完成信息錄入，審核員審核通過(guò)后，自己下載證書。（表三) 崗位設(shè)置4.6證書管理流程 用戶申請(qǐng)：用戶或操作員登陸證書管理系統(tǒng)，填寫用戶信息，提交申請(qǐng)CA證書的申請(qǐng)單。 部門領(lǐng)導(dǎo)審核：部門領(lǐng)導(dǎo)登陸系統(tǒng)，審核用戶的申請(qǐng)單。 審核員審核：審核員認(rèn)真核對(duì)證書申請(qǐng)單的信息，確認(rèn)無(wú)誤后，審批通過(guò)。反之不通過(guò)。 操作員制作證書：操作員根據(jù)審核員審批通過(guò)的證書申請(qǐng)單，將證書信息下載到一個(gè)新的USB-KEY中，一張新的證書就制作好了。 操作員移交證書：證書管理員將證書（USB Key）及證書有效期移交給給最終用戶，并告知證書使用注意事項(xiàng)（證書需隨身攜帶，密碼需修改且建議不與財(cái)務(wù)系統(tǒng)密碼一致），雙方填寫證書移交表。 用戶使用證書：最終用戶修改證書（USB Key）密碼。 證書更新：操作員發(fā)現(xiàn)管轄范圍內(nèi)的證書即將到期，操作員向用戶發(fā)起延期申請(qǐng)，對(duì)證書進(jìn)行延期處理。 證書廢除：最終用戶發(fā)現(xiàn)證書丟失后，需立即向證書操作員報(bào)失，以便立即對(duì)證書做廢除處理；并通知財(cái)務(wù)系統(tǒng)管理員關(guān)閉該財(cái)務(wù)系統(tǒng)用戶權(quán)限。證書分類如下：證書分類證書名稱生成流程備注系統(tǒng)證書 CA根證書初始化時(shí)生成。根密鑰備份。管理員證書 CA超級(jí)管理員證書。 審計(jì)管理員證書。 業(yè)務(wù)管理員證書。 錄入操作員證書。 審核操作員證書。見