一种快速签发证书方法与流程

1.本发明涉及数字证书签发技术领域，尤其涉及一种快速签发证书方法。


背景技术：

2.随着信息技术的发展，数字证书在保障网络安全、确保数据传输安全性方面发挥着越来越重要的作用，因此数字证书的需求量也越来越大。而数字证书的使用都是由ca系统的操作员将数字证书通过ca系统逐个的签发并安全存储到证书介质中。
3.参见图1，图中给出的是现有的数字证书签发流程，具体流程如下：
4.1.ca操作员通过终端浏览器访问用户列表页面；
5.2.终端浏览器向ca发证系统请求用户列表页面，ca发证系统向终端浏览器响应用户列表页面，终端浏览器向ca操作员呈现用户列表页面；
6.3.ca操作员选择需要签发证书的用户，并访问签发证书页面；
7.4.终端浏览器根据ca操作员(管理员)选择的用户，向ca发证系统请求证书签发页面，ca发证系统向终端浏览器响应证书签发页面，终端浏览器向ca操作员呈现证书签发页面；
8.5.ca操作员将证书介质插入终端设备，并通过终端浏览器提交签发证书；
9.6.终端浏览器调用证书介质生成密钥对，并生成证书签发请求；
10.7.终端浏览器根据证书签发请求调用ca签发数字证书发送至ca发证系统，ca发证系统向终端浏览器响应数字证书；
11.8.终端浏览器调用证书介质导入数字证书，并向ca操作员呈现证书签发成功；
12.9.ca操作员从终端设备上拔出证书介质，然后跳转至第1步，进行下一个证书签发。
13.然而，有的单位或企业中员工数量是很大的，小的单位有成百上千人，大的单位有几万甚至几十万人，由于在签发过程中完成一个数字证书签发需要一个拔插证书介质的过程，在需要签发大量证书的情况下，如果由操作员一个一个签发的工作量是巨大的，随之人力成本也增加了，效率也不高。
14.为此，本技术人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素：

15.本发明所要解决的技术问题在于：针对现有技术的不足而提供一种提高证书签发效率的快速签发证书方法。
16.本发明所要解决的技术问题可以采用如下技术方案来实现；
17.一种快速签发证书方法，包括以下步骤：
18.步骤s10，业务操作员将带有自身证书的证书介质插入发证终端的电脑主机上，使用发证终端的浏览器访问发证服务系统，并使用自己的证书登录发证服务系统；
19.步骤s20，业务操作员在浏览器上批量选择需要签发数字证书的用户，并将向发证服务系统提交批量签发证书请求；
20.步骤s30，业务操作员在发证终端上插入多个待签发证书的证书介质；
21.步骤s40，发证终端从插入的多个证书介质中识别出一个空的证书介质，并调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号；
22.步骤s50，发证终端构造完整的签发证书请求数据，并通过业务操作员的证书介质对签发证书请求数据进行签名；
23.步骤s60，发证终端将签名后的签发证书请求数据、用户基本信息、介质序列号、请求时间戳、业务操作证书和签名消息封装成一个完整的证书签名请求包，并通过发证接口将封装后的证书签名请求包发送至发证服务系统；
24.步骤s70，发证服务系统对接收到的证书签名请求包进行验证，验证通过后执行签发数字证书业务，并将签发后的数字证书以及证书介质序列号返回响应至发证终端；
25.步骤s80，发证终端接收发证服务系统返回的数字证书和介质序列号，并根据返回的介质序列号识别到对应的证书介质，再将返回的数字证书导入对应的证书介质内；
26.步骤s90，完成当前一个数字证书签发，并跳转回步骤s40进入下一个数字证书签发，直至这一批次要签发的证书都签发完成为止。
27.在本发明的一个优选实施例中，在步骤s30中，业务操作员在发证终端上插入多个待签发证书的证书介质，包括以下实现方式：
28.直接在发证终端的电脑主机上插入多个待签发证书的证书介质；
29.在发证终端的电脑主机上外接一个usbhub扩展器，在usbhub扩展器上插入多个待签发证书的证书介质。
30.在本发明的一个优选实施例中，在步骤s30中，所述证书介质支持的算法类型为rsa算法或sm2算法。
31.在本发明的一个优选实施例中，在步骤s40中，发证终端从插入的多个证书介质中识别出一个空的证书介质，包括以下步骤：
32.步骤s41，依次对插入的多个证书介质进行识别，判断当前的证书介质中是否存在数字证书，若不存在数字证书，表示可以给此证书介质签发证书，否则继续识别下一个证书介质；
33.步骤s42，若判断了插入的所有的证书介质，未找到可以签发证书的证书介质，表示这些证书介质都已签发证书，则通过浏览器提示此批次证书介质都已签发证书，请重新插入一批新的证书介质，并提交继续批量签发证书；当业务操作员重新插入一批新的证书介质时，返回步骤s41开始继续执行签发证书业务。
34.在本发明的一个优选实施例中，在步骤s40中，所述调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号，包括以下步骤：
35.步骤s43，根据此证书介质生成密钥对，密钥对包含公钥pubkey和私钥prvkey；
36.步骤s44，以此证书介质的用户信息作为主题dn，并使用私钥prvkey对主题dn和公钥pubkey进行签名，以生成证书请求req；
37.步骤s45，获取证书介质中的序列号keysn。
38.在本发明的一个优选实施例中，在步骤s43中，所述密钥对为1024位/2048位/4096
位rsa密钥对或sm2(国标256位ecc)密钥对；在步骤s44中，证书请求的格式为pkcs10格式。
39.在本发明的一个优选实施例中，在步骤s50中，所述签发证书请求数据包括证书请求req、用户基本信息、介质序列号keysn、请求时间戳以及业务操作员证书；数字签名算法为sha1withrsa、sha256withrsa或sm3withsm2中的一种。
40.在本发明的一个优选实施例中，在步骤s70中，所述发证服务系统对接收到的证书签名请求包进行验证，包括以下步骤：
41.步骤s71，根据请求获取对应的业务操作员证书介质，验证此证书的合法性，具体包括验证证书是否受信任、验证证书的有效期及是否被吊销以及验证证书是否有操作员权限；
42.步骤s72，根据请求获取签发证书请求数据，验证签发证书请求数据的合法性，具体包括根据签名算法sha1withrsa、sha256withrsa或sm3withsm2验证签名数据的合法性；
43.步骤s73，根据请求获取证书介质序列号，验证此介质序列号是否可以签发证书，具体包括验证此序列号在数据库中是否已存在绑定证书数据。
44.由于采用了如上技术方案，本发明的有益效果在于：
45.1.本发明有效地减少了业务操作员的操作步骤。传统方式是每签发一个证书需要选一次用户、拔插一次证书介质、然后每次都要提交一次签发证书，如果签发10个用户的证书需要ca操作员交互操作30次。而本发明中一次批量选择多个用户、一次可插入多个证书介质、然后提交一次签发证书，同样如果签发10个用户证书只需要ca操作员交互操作3次，极大的减少操作步骤。
46.2.本发明有效地提高了业务操作员签发证书的效率。传统方式是每次只能签发一张证书后拔插一次证书介质，紧接着才能查询第二个用户签发第二张证书，这样人员参与次数多效率自然就低下；而本发明中一次操作员参与后后面由程序自动处理切换签发第二张证书，人员参与次数减少，极大地提升了证书签发效率。
47.3.本发明通过安全校验保证循环过程中每次签发证书的正确性，提高了证书签发的准确性。
附图说明
48.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
49.图1是本发明的数字证书签发方法的流程图。
50.图2是本发明的快速签发证书方法的结构示意图。
51.图3是本发明的快速签发证书方法的流程图。
具体实施方式
52.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
53.参见图2和图3，图中给出的是一种快速签发证书方法，包括以下步骤：
54.步骤s10，业务操作员将带有自身证书的证书介质插入发证终端的电脑主机上，使用发证终端的浏览器访问发证服务系统，并使用自己的证书登录发证服务系统；
55.步骤s20，业务操作员在浏览器上批量选择需要签发数字证书的用户，并将向发证服务系统提交批量签发证书请求；
56.步骤s30，业务操作员在发证终端上插入多个待签发证书的证书介质；
57.步骤s40，发证终端从插入的多个证书介质中识别出一个空的证书介质，并调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号；
58.步骤s50，发证终端构造完整的签发证书请求数据，并通过业务操作员的证书介质对签发证书请求数据进行签名；
59.步骤s60，发证终端将签名后的签发证书请求数据、用户基本信息、介质序列号、请求时间戳、业务操作证书和签名消息封装成一个完整的证书签名请求包，并通过发证接口将封装后的证书签名请求包发送至发证服务系统；
60.步骤s70，发证服务系统对接收到的证书签名请求包进行验证，验证通过后执行签发数字证书业务，并将签发后的数字证书以及证书介质序列号返回响应至发证终端；
61.步骤s80，发证终端接收发证服务系统返回的数字证书和介质序列号，并根据返回的介质序列号识别到对应的证书介质，再将返回的数字证书导入对应的证书介质内；
62.步骤s90，完成当前一个数字证书签发，并跳转回步骤s40进入下一个数字证书签发，直至这一批次要签发的证书都签发完成为止。
63.在步骤s30中，业务操作员在发证终端上插入多个待签发证书的证书介质，包括以下实现方式：
64.1.直接在发证终端的电脑主机上插入多个待签发证书的证书介质；
65.2.在发证终端的电脑主机上外接一个usbhub扩展器，在usbhub扩展器上插入多个待签发证书的证书介质。usbhub扩展器的大小可选择但不限于10、20、30等，其最小个数为1个，最大个数为usbhub扩展支持的数量。
66.在步骤s30中，所述证书介质支持的算法类型为rsa算法或sm2算法。
67.在步骤s40中，发证终端从插入的多个证书介质中识别出一个空的证书介质，包括以下步骤：
68.步骤s41，依次对插入的多个证书介质进行识别，判断当前的证书介质中是否存在数字证书，若不存在数字证书，表示可以给此证书介质签发证书，否则继续识别下一个证书介质；
69.步骤s42，若判断了插入的所有的证书介质，未找到可以签发证书的证书介质，表示这些证书介质都已签发证书，则通过浏览器提示此批次证书介质都已签发证书，请重新插入一批新的证书介质，并提交继续批量签发证书；当业务操作员重新插入一批新的证书介质时，返回步骤s41开始继续执行签发证书业务。
70.在步骤s40中，所述调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号，包括以下步骤：
71.步骤s43，根据此证书介质生成密钥对，密钥对包含公钥pubkey和私钥prvkey；其中，密钥对为1024位/2048位/4096位rsa密钥对或sm2(国标256位ecc)密钥对；
72.步骤s44，以此证书介质的用户信息作为主题dn，并使用私钥prvkey对主题dn和公
钥pubkey进行签名，以生成证书请求req；其中，证书请求的格式优选地采用pkcs10格式；
73.步骤s45，获取证书介质中的序列号keysn。
74.在步骤s50中，签发证书请求数据包括证书请求req、用户基本信息、介质序列号keysn、请求时间戳以及业务操作员证书；数字签名算法为sha1withrsa、sha256withrsa或sm3withsm2中的一种。
75.在步骤s70中，所述发证服务系统对接收到的证书签名请求包进行验证，包括以下步骤：
76.步骤s71，根据请求获取对应的业务操作员证书介质，验证此证书的合法性，具体包括验证证书是否受信任、验证证书的有效期及是否被吊销以及验证证书是否有操作员权限；
77.步骤s72，根据请求获取签发证书请求数据，验证签发证书请求数据的合法性，具体包括根据签名算法sha1withrsa、sha256withrsa或sm3withsm2验证签名数据的合法性；
78.步骤s73，根据请求获取证书介质序列号，验证此介质序列号是否可以签发证书，具体包括验证此序列号在数据库中是否已存在绑定证书数据。
79.在步骤s80中，发证终端接收到发证服务系统返回的响应后，其具体进行以下处理：
80.步骤s81，根据响应数据获取数字证书数据和证书介质序列号；
81.步骤s82，发证终端根据证书介质序列号从步骤s30中插入的证书介质中识别到对应的证书介质，确保跟步骤s40中获取的证书介质是同一个；
82.步骤s83，发证终端调用此证书介质，并将数字证书导入到该证书介质中。
83.在步骤s90中，数字证书导入成功后表示此用户签发证书完成，进入下一个用户的证书签发业务，其具体进行以下处理：
84.步骤s91，当前用户证书签发完成后，自动从步骤s20中批量选择的用户中识别出下一个待签发证书的用户进行下一个用户证书的签发，否则表示此批次用户都已签发完数字证书，则退出；
85.步骤s92，识别到下一个待签发证书的用户后，跳转到步骤s40开始新的用户证书签发处理；
86.步骤s93，当这一批次用户都签发完证书后，发证终端停止运行，提示此批次用户证书签发完成，业务操作员可从步骤s20中开始继续选择下一批次要签发证书的用户进行下一轮的数字证书签发业务。
87.本发明能够极大限度地减少业务操作员参与操作的次数，很好地提升数字证书签发的效率，并也能够保证数字证书签发过程中的正确性，实现高效的数字证书签发。
88.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

技术特征：
1.一种快速签发证书方法，其特征在于，包括以下步骤：步骤s10，业务操作员将带有自身证书的证书介质插入发证终端的电脑主机上，使用发证终端的浏览器访问发证服务系统，并使用自己的证书登录发证服务系统；步骤s20，业务操作员在浏览器上批量选择需要签发数字证书的用户，并将向发证服务系统提交批量签发证书请求；步骤s30，业务操作员在发证终端上插入多个待签发证书的证书介质；步骤s40，发证终端从插入的多个证书介质中识别出一个空的证书介质，并调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号；步骤s50，发证终端构造完整的签发证书请求数据，并通过业务操作员的证书介质对签发证书请求数据进行签名；步骤s60，发证终端将签名后的签发证书请求数据、用户基本信息、介质序列号、请求时间戳、业务操作证书和签名消息封装成一个完整的证书签名请求包，并通过发证接口将封装后的证书签名请求包发送至发证服务系统；步骤s70，发证服务系统对接收到的证书签名请求包进行验证，验证通过后执行签发数字证书业务，并将签发后的数字证书以及证书介质序列号返回响应至发证终端；步骤s80，发证终端接收发证服务系统返回的数字证书和介质序列号，并根据返回的介质序列号识别到对应的证书介质，再将返回的数字证书导入对应的证书介质内；步骤s90，完成当前一个数字证书签发，并跳转回步骤s40进入下一个数字证书签发，直至这一批次要签发的证书都签发完成为止。2.如权利要求1所述的快速签发证书方法，其特征在于，在步骤s30中，业务操作员在发证终端上插入多个待签发证书的证书介质，包括以下实现方式：直接在发证终端的电脑主机上插入多个待签发证书的证书介质；在发证终端的电脑主机上外接一个usbhub扩展器，在usbhub扩展器上插入多个待签发证书的证书介质。3.如权利要求1所述的快速签发证书方法，其特征在于，在步骤s30中，所述证书介质支持的算法类型为rsa算法或sm2算法。4.如权利要求1所述的快速签发证书方法，其特征在于，在步骤s40中，发证终端从插入的多个证书介质中识别出一个空的证书介质，包括以下步骤：步骤s41，依次对插入的多个证书介质进行识别，判断当前的证书介质中是否存在数字证书，若不存在数字证书，表示可以给此证书介质签发证书，否则继续识别下一个证书介质；步骤s42，若判断了插入的所有的证书介质，未找到可以签发证书的证书介质，表示这些证书介质都已签发证书，则通过浏览器提示此批次证书介质都已签发证书，请重新插入一批新的证书介质，并提交继续批量签发证书；当业务操作员重新插入一批新的证书介质时，返回步骤s41开始继续执行签发证书业务。5.如权利要求4所述的快速签发证书方法，其特征在于，在步骤s40中，所述调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号，包括以下步骤：步骤s43，根据此证书介质生成密钥对，密钥对包含公钥pubkey和私钥prvkey；步骤s44，以此证书介质的用户信息作为主题dn，并使用私钥prvkey对主题dn和公钥
pubkey进行签名，以生成证书请求req；步骤s45，获取证书介质中的序列号keysn。6.如权利要求1所述的快速签发证书方法，其特征在于，在步骤s43中，所述密钥对为1024位/2048位/4096位rsa密钥对或sm2(国标256位ecc)密钥对；在步骤s44中，证书请求的格式为pkcs10格式。7.如权利要求5所述的快速签发证书方法，其特征在于，在步骤s50中，所述签发证书请求数据包括证书请求req、用户基本信息、介质序列号keysn、请求时间戳以及业务操作员证书；数字签名算法为sha1withrsa、sha256withrsa或sm3withsm2中的一种。8.如权利要求7所述的快速签发证书方法，其特征在于，在步骤s70中，所述发证服务系统对接收到的证书签名请求包进行验证，包括以下步骤：步骤s71，根据请求获取对应的业务操作员证书介质，验证此证书的合法性，具体包括验证证书是否受信任、验证证书的有效期及是否被吊销以及验证证书是否有操作员权限；步骤s72，根据请求获取签发证书请求数据，验证签发证书请求数据的合法性，具体包括根据签名算法sha1withrsa、sha256withrsa或sm3withsm2验证签名数据的合法性；步骤s73，根据请求获取证书介质序列号，验证此介质序列号是否可以签发证书，具体包括验证此序列号在数据库中是否已存在绑定证书数据。

技术总结
本发明公开的一种快速签发证书方法，包括以下步骤：1.登录发证服务系统；2.提交批量签发证书请求；3.插入多个待签发证书的证书介质；4.发证终端识别出一个空的证书介质，并调用此证书介质生成密钥对和证书请求以及获取此证书介质的序列号；5.发证终端构造签发证书请求数据并签名；6.发证终端封装成一个完整的证书签名请求包，并发送至发证服务系统；7.发证服务系统对证书签名请求包进行验证，并执行签发数字证书业务；8.发证终端将数字证书导入对应的证书介质内；9.完成当前一个数字证书签发，并跳转回步骤4进入下一个数字证书签发，直至这一批次要签发的证书都签发完成为止。本发明极大地提升了证书签发效率。明极大地提升了证书签发效率。明极大地提升了证书签发效率。


技术研发人员：陈逊 朱立通 许俊 黄福飞
受保护的技术使用者：格尔软件股份有限公司
技术研发日：2023.07.19
技术公布日：2023/9/23