CA配置操作指引

1 简介

1.1 功能介绍

通过星瀚系统直连支付时，支持第三方CA认证：

• 保障金蝶星瀚系统在线业务用户的身份真实性；

• 保障金蝶星瀚系统在线业务用户在登录、支付、数据签署等关键节点的安全性；

• 保障资金数据内容的真实防篡改（保障资金数据内容的唯一性，预防通过技术手段截获、篡改等问题）。

说明：

金蝶中国已与天威诚信/CFCA/信安世纪三家供应商合作。通过第三方服务实现CA证书的申请、管理、吊销等业务，金蝶系统不再开发额外的证书管理系统。

1.2 应用场景

设置前提：用户已经拥有合法CA Ukey证书，或者本地软证书。

应用场景：用户为出纳角色，支付场景下通过CA保证资金安全。

通过星瀚系统付款单提交银企支付时，需要通过第三方颁发证书完成CA签名，在提交银企时进行强制验签，通过身份识别和信息验证后，才提交到银企互联进行付款。

设置目的：一方面进行身份真实性识别，保证只有有权限的资金人员才能操作直连支付；另一方面，保证敏感信息：收款人户名、收款账号、付款金额等等用户认为重要且敏感的信息进行一致性校验，防止被恶意篡改。

1.3 系统路径

【财务云】→【出纳】→【付款处理】

2 主要操作

2.1 证书获取

天威诚信技术支持人：郝贵斌 18511788191

CFCA官方微信号：Asyou__

信安世纪官方微信号：red_lichen

正式环境的供应商配置文件及证书申请请联系对应供应商进行获取

测试环境的供应商配置文件请点击此处获取（目前测试环境仅提供天威诚信的配置文件，如需其他供应商测试环境配置及证书，请联系对应供应商获取）

2.2 证书配置

前提条件

配置文件、合法CA Ukey证书/本地软证书

操作步骤

步骤1： 维护签名供应商信息

操作路径：【系统云】→【系统管理】→【安全认证】→【签名供应商】

（1）点击<新增>按钮，打开签名供应商方案配置界面。

（2）选择【供应商】下拉框选中合作供应商；

（3）在【签名配置】中填写从供应商处获取的配置文件。

注意：在填写签名配置时，要点击输入按钮进去填写，直接在列表界面填写不会生效

（4）以上信息输入完毕，点击<确定>按钮。

步骤2： CA参数配置

操作路径：【系统服务云】→【配置工具】→【参数配置】→【系统参数】→【公共参数】
操作步骤：
（1）选择【签名供应商】（此处可选数据范围为：步骤1维护的签名供应商方案）

（2）选择对应选项后点击<确定>按钮，然后点击<保存>。

步骤3： 安装证书（仅软证书涉及此步骤）

操作步骤：

（1）获取软证书后，下载到本地。然后双击证书开始安装，跟随向导完成证书安装。最后一步涉及密码填写，请与授予证书的人员获取。

（2）安装完毕后需导入浏览器（以谷歌为例），打开浏览器设置页面，进入【安全和隐私设置】中的【安全】界面。

（3）进入【安全】界面后点击<管理证书>。

（4）在证书弹窗中选择上一步骤安装的证书，点击<导入>。

步骤4：证书导入系统以及与具体用户关联

Ukey和软证书的原理相似，均需要导入和与用户关联才能正常使用，本文档通过对软证书使用的展示来介绍这部分功能。

操作路径：【系统服务云】→【系统管理】→【安全认证】→【证书管理】

操作步骤：
（1）在安全证书界面点击<导入>

（2）选择步骤3安装到本地的证书，确认无误后点击<确定>，导入成功后，证书信息会出现在列表界面中。

（3）选中证书，关联用户，点击<关联>打开人员列表，选择关联用户

注意：一张证书只能绑定一个系统用户。

2.3 签名方案配置

CA证书的使用可对单据中的关键信息进行签名验签，需要预先给单据配置签名方案，即配置单据的签名验签操作和签名字段。

举例说明一下签名验签是什么含义：

付款单中关键信息：收款人户名、收款人账号、付款币别、付款金额（对应下文中的加签字段）

提交（签名操作）时，会针对本单记录一下

 收款人户名（张三）、收款账号（001）、付款币别（CNY）、付款金额（300