1 简介

1.1 功能介绍

通过星瀚系统直连支付时，支持第三方CA认证：

• 保障金蝶星瀚系统在线业务用户的身份真实性；

• 保障金蝶星瀚系统在线业务用户在登录、支付、数据签署等关键节点的安全性；

• 保障资金数据内容的真实防篡改（保障资金数据内容的唯一性，预防通过技术手段截获、篡改等问题）。

说明：

金蝶中国已与天威诚信/CFCA/信安世纪三家供应商合作。通过第三方服务实现CA证书的申请、管理、吊销等业务，金蝶系统不再开发额外的证书管理系统。

1.2 应用场景

设置前提：用户已经拥有合法CA Ukey证书，或者本地软证书。

应用场景：用户为出纳角色，支付场景下通过CA保证资金安全。

通过星瀚系统付款单提交银企支付时，需要通过第三方颁发证书完成CA签名，在提交银企时进行强制验签，通过身份识别和信息验证后，才提交到银企互联进行付款。

设置目的：一方面进行身份真实性识别，保证只有有权限的资金人员才能操作直连支付；另一方面，保证敏感信息：收款人户名、收款账号、付款金额等等用户认为重要且敏感的信息进行一致性校验，防止被恶意篡改。

1.3 系统路径

【财务云】→【出纳】→【付款处理】

2 主要操作

2.1 证书获取

天威诚信技术支持人：郝贵斌 18511788191

CFCA官方微信号：Asyou__

信安世纪官方微信号：red_lichen

正式环境的供应商配置文件及证书申请请联系对应供应商进行获取

测试环境的供应商配置文件请点击此处获取（目前测试环境仅提供天威诚信的配置文件，如需其他供应商测试环境配置及证书，请联系对应供应商获取）

2.2 证书配置

前提条件

配置文件、合法CA Ukey证书/本地软证书

操作步骤

步骤1： 维护签名供应商信息

操作路径：【系统云】→【系统管理】→【安全认证】→【签名供应商】

（1）点击<新增>按钮，打开签名供应商方案配置界面。

（2）选择【供应商】下拉框选中合作供应商；

（3）在【签名配置】中填写从供应商处获取的配置文件。

注意：在填写签名配置时，要点击输入按钮进去填写，直接在列表界面填写不会生效

（4）以上信息输入完毕，点击<确定>按钮。

步骤2： CA参数配置

操作路径：【系统服务云】→【配置工具】→【参数配置】→【系统参数】→【公共参数】
操作步骤：
（1）选择【签名供应商】（此处可选数据范围为：步骤1维护的签名供应商方案）

（2）选择对应选项后点击<确定>按钮，然后点击<保存>。

步骤3： 安装证书（仅软证书涉及此步骤）

操作步骤：

（1）获取软证书后，下载到本地。然后双击证书开始安装，跟随向导完成证书安装。最后一步涉及密码填写，请与授予证书的人员获取。

（2）安装完毕后需导入浏览器（以谷歌为例），打开浏览器设置页面，进入【安全和隐私设置】中的【安全】界面。

（3）进入【安全】界面后点击<管理证书>。

（4）在证书弹窗中选择上一步骤安装的证书，点击<导入>。

步骤4：证书导入系统以及与具体用户关联

Ukey和软证书的原理相似，均需要导入和与用户关联才能正常使用，本文档通过对软证书使用的展示来介绍这部分功能。

操作路径：【系统服务云】→【系统管理】→【安全认证】→【证书管理】

操作步骤：
（1）在安全证书界面点击<导入>

（2）选择步骤3安装到本地的证书，确认无误后点击<确定>，导入成功后，证书信息会出现在列表界面中。

（3）选中证书，关联用户，点击<关联>打开人员列表，选择关联用户

注意：一张证书只能绑定一个系统用户。

2.3 签名方案配置

CA证书的使用可对单据中的关键信息进行签名验签，需要预先给单据配置签名方案，即配置单据的签名验签操作和签名字段。

举例说明一下签名验签是什么含义：

付款单中关键信息：收款人户名、收款人账号、付款币别、付款金额（对应下文中的加签字段）

提交（签名操作）时，会针对本单记录一下

 收款人户名（张三）、收款账号（001）、付款币别（CNY）、付款金额（3000.00）

提交银企（验签操作）时，会针对关键信息再次进行记录，并且对比两次记录信息是否一致，如果一致，那么验证通过，如果不一致，那么存在数据篡改风险，验签不通过。

操作路径：【系统服务云】→【系统管理】→【安全认证】→【签名配置方案】

操作步骤：
（1）进入到签名配置方案界面

（2）新增签名配置方案

方案配置：

（1）业务对象：需要签名的单据（付款单、代发单、银行付款单、银行代发单等等）

（2）加签字段：针对业务对象需要签名的字段（一般为关键敏感的信息：例如收款人信息、金额信息等等）

（3）签名操作：需要签名的操作（例如：提交/审核，用户可根据管理需要进行配置）

（4）验签操作：需要验签的操作（例如：提交银企，用户可根据管理需要进行配置）

签名操作一定先于验签操作，具体原因基于上文橘色字体进行理解；标准产品提交银企操作强制验签。若需要在工作流中实现验签操作，可参考如下社区文档处理：

https://club.kdcloud.com/article/249859677985718016?productLineId=29&isKnowledge=2&lang=zh-CN

签名受控组织配置：

（1）受控组织：当开启组织受控时，只有在受控范围组织下的单据才能使用当前方案（即签名的单据的主业务组织需在方案的受控组织范围内）。默认不开启此功能。（不需要此功能可跳过）

（2）如果要使用受控组织功能，需开启对应单据的受控参数。

开启受控组织有两种方式（两处参数值共享，一处开启即可）：

① 在【系统管理】-【安全认证】-【签名配置方案】中开启受控参数并且配置受控组织；

② 在【配置工具】-【参数配置】-【单据参数】开启对应单据的受控参数，然后返回【签名配置方案】中配置具体受控组织。

（3）在签名配置方案中选择需要组织受控的方案，添加受控组织。

注意：开启组织受控后，单据的业务主组织（当单据没有主组织时，默认为当前用户的业务单元）在签名方案的受控范围内才生效。若组织开启了包含下级，则下级组织亦会使用该方案。

签名方案适用范围配置

系统支持只对符合签名条件的单据进行签名和验签操作。

使用场景：支付渠道是柜台/网上银行的，无需进行安全认证；只有支付渠道是银企互联的，才要进行安全认证。

操作路径：【系统服务云】→【系统管理】→【安全认证】→【签名方案】
操作步骤：
（1）进入签名方案界面，点击<适用范围>

（2）根据客户需求进行配置签名条件。保存后即生效，仅对符合签名条件的单据进行签名和验签。

至此，全部CA相关配置已完成。可以顺利安全完成支付。