[发明专利]一种证书预植系统及其方法

权利要求书

1.一种证书预植系统，包括key厂商(1)、证书预植机构(2)和银行CA机构(3)，其特征在于，所述银行CA机构(3)用于颁发设备证书的根证书给key厂商(1)；

所述key厂商(1)与证书预植机构(2)连接，用于生产预植有设备证书的key设备，并将该key设备发送到证书预植机构(2)；

所述证书预植机构(2)与银行CA机构(3)双向连接，用于向银行CA机构(3)发送包含签名的证书请求，由银行CA机构(3)签发用户证书给证书预植机构(2)，并由key设备将用户证书及设备证书进行比对，以完成用户证书预植过程。

2.根据权利要求1所述的一种证书预植系统，其特征在于，所述key设备包括USB key和蓝牙key。

3.一种应用权利要求1所述证书预植系统的证书预植方法，其特征在于，包括以下步骤：

S1、银行CA机构颁发设备证书的根证书给key厂商；

S2、key厂商根据设备证书的根证书，生产预植有设备证书的key设备，并将生产的key设备发送到证书预植机构；

S3、证书预植机构从key设备中获取包含签名的用户证书请求，并将该包含签名的证书请求发送给银行CA机构；

S4、银行CA机构对证书请求进行验签，并进行序列号比对操作，若验签通过，且序列号比对成功，则银行CA机构签发用户证书给证书预植机构，否则结束证书预植过程；

S5、证书预植机构将银行签发的用户证书写入key设备中，key设备将用户证书的序列号与设备证书的序列号进行比对，若比对成功，则key设备下载用户证书，否则结束证书预植过程。

4.根据权利要求3所述的一种证书预植方法，其特征在于，所述设备证书的根证书对应于不同的key厂商。

5.根据权利要求3所述的一种证书预植方法，其特征在于，所述步骤S2具体包括以下步骤：

S21、key厂商根据设备证书的根证书，在生产的key设备中预植设备证书，其中，设备证书DN中包含设备序列号；

S22、key厂商将生产的key设备发送到证书预植机构。

6.根据权利要求5所述的一种证书预植方法，其特征在于，所述步骤S3具体包括以下步骤：

S31、key设备将证书预植机构申请的证书与设备证书进行DN中序列号的比对，若比对成功，则key设备生成包含签名的证书请求P10，否则结束证书预植过程；

S32、证书预植机构从key设备中获取包含签名的证书请求P10，之后调用银行签发证书的接口，以将包含签名的证书请求P10发送给银行CA机构。

7.根据权利要求6所述的一种证书预植方法，其特征在于，所述步骤S31具体包括以下步骤：

S311、key设备将证书预植机构申请的证书DN中的序列号与设备证书DN中的设备序列号进行比对，若比对成功，则执行步骤S312，否则结束证书预植过程；

S312、key设备生成证书请求P10，并对证书请求P10使用设备证书进行签名，得到包含签名的证书请求P10。

8.根据权利要求6所述的一种证书预植方法，其特征在于，所述步骤S4具体包括以下步骤：

S41、银行CA机构对证书请求P10进行验签，若验签通过，则银行CA机构从签名中获取设备证书的DN、从证书请求P10中获取证书预植机构申请的证书的DN，否则结束证书预植过程；

S42、银行CA机构将设备证书DN中的设备序列号与申请的证书DN中的序列号进行比对，若比对成功，则银行CA机构签发用户证书给证书预植机构，否则结束证书预植过程。

9.根据权利要求8所述的一种证书预植方法，其特征在于，所述步骤S42中银行CA机构具体是通过证书预植机构调用的接口，将签发的用户证书发送给证书预植机构。

10.根据权利要求9所述的一种证书预植方法，其特征在于，所述步骤S5具体包括以下步骤：

S51、证书预植机构将用户证书写入key设备中，key设备获取用户证书DN中的序列号；

S52、key设备将用户证书DN中的序列号与设备证书DN中的设备序列号进行比对，若比对成功，则key设备下载用户证书，否则结束证书预植过程。