中国石油USBKey管理员工具主要用于管理USBKey中证书和PIN口令

中国石油USBKey管理员工具主要用于

管理USBKey中证书和PIN口令

USBKey是指什么？

USBKey是一种智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签名验证的运算，安全性高，外形小巧，可插在电脑的USB接口中使用。

一、引言

1、编写目的

本手册针对中国石油USBKey管理员工具进行了介绍，以有助于使用者更加方便快捷而且正确地使用本工具。该管理员手册适用于具有基本计算机操作能力且了解基本PKI概念的读者。

2、背景 o 中国石油USBKey管理员工具由北京握奇数据系统有限公司可信计算产品开发中心开发完成。 3、术语解释

o PKI（Public Key Infrastructure）：

即"公开密钥体系"，是一种遵循既定

标准的密钥管理平台，它能够为所有

网络应用提供加密和数字签名等密

码服务及所必需的密钥和证书管理

体系，简单来说，PKI就是利用公钥

理论和技术建立的提供安全服务的

基础设施。PKI技术是信息安全技术

的核心，也是电子商务的关键和基础

技术。

PKI的基础技术包括加解密、数字签

名、数据完整性机制、数字信封、双

重数字签名等。

o 认证中心（CA）：

CA是PKI 的核心，CA 负责管理PKI 结构下的所有用户。

CA（Certification Authority）是

认证机构的国际通称，它是对数字证

书的申请者发放、管理、取消数字证

书的机构。CA的作用是检查证书持

有者身份的合法性，并签发证书（用

数学方法在证书上签字），以防证书

被伪造或篡改。

o 数字证书：

数字证书也被称作CA证书（简称证

书），实际是一串很长的数学编码，包含有客户的基本信息及CA的签

字，通常保存在电脑硬盘或IC卡中。数字证书一般是由CA签发的，证明

证书主体（"证书申请者"获得CA签

发的证书后即成为"证书主体"）与证

书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相

关信息、申请者的公钥、签发证书的

CA的数字签名及证书有效期等内

容。

数字证书可用于：发送安全电子邮

件、访问安全站点、网上证券、网上

招标采购、网上签约、网上办公、网

上缴费、网上税务等网上安全电子事

务处理和安全电子交易活动

o 根证书：

根证书是CA给自己颁发的证书，是

信任链的起始点。安装根证书意味着

对这个CA的信任。要使用某个CA

颁发的证书来进行网络安全应用，必

须先下载并安装该CA的根证书。

o 服务器证书：

服务器证书是CA颁发的、安装在服

务器上用以证明服务器身份的证书。 o 客户证书：

客户证书又称浏览器证书，是指由

CA颁发的、安装在客户浏览器端使

用的个人或企业证书。

o SSL安全协议：

SSL是一种国际标准的加密及身份

认证通信协议，您用的浏览器就支持

此协议。SSL（Secure Sockets Layer）最初是由美国Netscape公司研究出

来的，后来成为了Internet网上安

全通讯与交易的标准。SSL协议使用

通讯双方的客户证书以及CA根证

书，允许客户/服务器应用以一种不

能被偷听的方式通讯，在通讯双方间

建立起了一条安全的、可信任的通讯

通道。它具备以下基本特征：信息保

密性、信息完整性、相互鉴定。

o PKCS#11：

PKCS#11接口模块是Netscape公司

的浏览器中提供的一个标准的安全

模块，它提供标准的算法实现，支持

SSL协议，支持方便、安全的密钥和

证书管理机制。该模块既可以直接用

于Netscape公司的浏览器中，又可

以使应用程序开发者在非浏览器环

境下的自主开发，非常方便、简洁。 o CSP（Cryptographic Service

Provider）加密服务提供模块：

CryptoAPI 是微软用来提供加密服

务的技术，它的功能是为应用程序开

发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。不同供应商可以开发自己独立的加

密模块，即加密服务提供模块CSP，他们可以通过CryptoAPI接口被任

何应用程序开发者调用。目前任何一

个加密服务提供者若想成为微软的

合法的CSP，就必须获得微软授予的

一个签名文件，该签名文件保证了微

软CryptoAPI能够识别得到该CSP。 CSP只能用于Windows操作系统，支

持IE浏览器的调用。

二、运行环境

1、硬件设备

o I. CPU 英特尔 奔腾 2.0G及以上，

256M内存及以上，USB接口

II. 握奇数据系统有限公司生产的

USBKey和卡片

2、支持软件

o Windows 7中文或英文版

Windows Vista中文或英文版

Windows 2003中文或英文版

Windows 2000中文或英文版

Windows XP 中文或英文版

三、使用过程

1、安装 o 中国石油USBKey管理员工具是WatchSAFE3.3.0套件中的一个模块，套件安装完后，自动在开始菜单和桌面上产生快捷方式 2、使用

o 中国石油USBKey管理员工具主要用

于管理USBKey中的证书、PIN口令，同时还配置工具的一些选项，分为5

部分。

a) 设备操作

选择设备：有多个USBKey时，通过

选择标签操作切换设备。

退出：退出程序。

o b) PIN口令操作

中国石油USBKey管理员工具可以进

行PIN口令缓存，即当用户输入PIN

口令，并且检验正确后，PIN口令将

被缓存起来。注意，后台程序

CNPC_C330.exe运行后才具有PIN口

令缓存功能。

校验PIN：PIN口令认证。

修改PIN：修改PIN口令。

o c) 证书操作

查看证书：查看证书的详细内容。

安装证书：将证书安装到IE里。

卸载证书：将证书从IE里卸载。

o d) 系统检测

系统信息：查看操作系统版本及浏览

器版本。

智能卡服务：查看服务的安装状态、启动方式及运行状态。

驱动安装：查看驱动版本、动态库状

态、注册表状态、驻留程序状态、启

动项状态是否完成。

USBKey状态：查看USBKey的连接情

况。

一键修复：查看智能卡服务及驱动安

装是否正常被修复。

o e) 选项配置

运行选项：配置热插拔USBKey时运

行关闭程序操作，可以指定网页地

址。

语言选项：简体中文、英文，默认语

言为操作系统语言。

设备信息：显示设备的卷标、ATR信

息、序列号、CSP名称、卡结构版本

和剩余空间信息。

四、常见问题与解决办法

1.IE中安装证书出现的问题

A. 打开IE浏览器，点击 工具 →

Internet选项 → 内容 → 证书 ，"个人"栏中内容空白，没有任何证书显示，则表明您的证书根本就没有安装，请您安装数字证书。

B. 如果选择了插key自动安装证书的功能，还是看不到证书，则请确认后台程序是否已经启用。

C. 打开IE浏览器，点击 工具 →

Internet选项 → 内容 → 证书，双击您的证书，点击"常规" 按钮，发现"证书信息"下显示："Windows没有足够信息，不能验证该证书。"则表明您没有安装数字证书的根证书，请您安装数字证书的根证书。

D. 打开IE浏览器，点击 工具 →

Internet选项 → 内容 → 证书，双击您的证书，点击"常规"按钮，发现"证书信息"下显示："该证书已过期，或者尚未生效。"则表明您的证书可能已经过期或者您的计算机系统时间不在证书的有效期内，请您查看该计算机的系统时间是否正确。

2.邮件设置问题

在Outlook Express设置邮箱与帐号的绑定时，依次点击 工具 → 帐号 → 邮件 → 属性 → 安全 → 选择，弹出的证书选择对话框中，没有可供选择的证书？

1） 请确认您的证书已经正确安装且没有过期，确认方法见上"IE中安装证书出现的问题D"。

2） 请确认您在Outlook Express中所设置的邮箱与您在申请数字证书时所提供的邮箱一致。查看您在申请数字证书

时所提供的邮箱方法:在Internet

Explorer中，依次点击 工具 →

Internet选项 → 内容 → 证书，选中您的数字证书，点击 查看 → 详细信息 → 主题，您就可以看到邮箱。

3） 请确认您的证书是否为电子邮件保护证书。

3.在访问安全站点时,出现"安全证书上

的名称与站点名称不匹配"的提示,这是什么原因?

之所以出现"安全证书上的名称与站点名称不匹配"的情况，是因为您在IE地址栏输入的域名或IP与在申请服务器证书时所填写的与该证书所匹配的服务器的域名或IP不相同所引起的，您可以在IIS里查看服务器证书的详细信息，在 IIS → 目录安全性→ 查看证书 → 详细信息里主题这一项，查看其CN所对应的域名或IP与你在客户端的IE地址栏输入的信息是否一致，如果不同，则会出现您所说的这种情况。

4.为什么用户必须下载根证书?

所谓根证书，是CA与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA对该证书信息的签名是否有效），需要用CA的公钥验证，而CA的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根

证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 5.密钥缓存问题?

解决方法：没有密钥缓存功能时，请察看后台进程是否启用，工具设置选项中缓存用户PIN口令是否勾选。

6.插入USBKey时，没有出现找到新硬

件?

解决方法：拔下USBKey，重新插入，看是否能找到，或者换个USB口试试。 7.无法连接USBKey?

解决方法：请检查USBKey灯是否亮、USB口是否被其他设备占用、USB口是否被禁用、USB驱动程序是否安装。

8.如果我的电脑重装了，我的数字证书

是否还能用?

答：由于证书是保存在USBKey上的，您重装完系统后需再安装SAFE管理员工

具，然后通过工具将证书安装到IE中。注意：不要忘了安装根证书！

9."管理员工具"起到什么作用?

答："管理员工具"作用：可以修改Key密码，将证书安装到计算机上，查看证书内容。

10.下载证书时提示"80090020"错误?

答：首先确定驱动是否安装正常（在设备管理器中显示Watchkey virtual

Reader Enumberator）；然后确定CSP名称是否选择正确。

BKey在管理员工具中初始密码是

多少?

答：默认用户密码是88888888，建议您第一次使用时将密码修改。

BKey密码被锁怎么办?

答：USBKey密码锁死，请尽快联系发行部门将USBKey进行解锁。

五、联系我们

中国石油天然气集团公司身份管理与认

证项目组

联系电话：

(8610)-59981704 59981501

电子邮件： sfrz_pki@

本文来源：https://www.bwwdw.com/article/axm1.html