[发明专利]一种加密设备生产过程中注入带签名的证书的解决方法

权利要求书

1.一种加密设备生产过程中注入带签名的证书的解决方法，其特征在于：加密机和加密机控制台都设置在防火墙的安全内网的网区内，每台加密机通过USB接口外接一个加密机硬件加密设备，加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对；生产环境PC机通过互联网访问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备，鉴权硬件加密设备内部有一对鉴权RSA公私密钥对；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴权硬件加密设备被盗，能够将其从加密机的白名单中删除；对每一个待出厂的硬件加密设备，生产环境PC机进行以下操作：

1）调用待出厂的硬件加密设备的接口，生成RSA公私密钥对，并导出序列号和公钥；

2）使用序列号和公钥，填写X509证书；

3）用鉴权RSA私钥，对填写好的X509证书进行签名，表明该证书出自受信任的生产环境PC机；

4）调用证书签名服务器的RESTFUL接口，将签名过的X509证书，和鉴权RSA公钥一起发送给证书签名服务器；

5）证书签名服务器收到请求，调用加密机的接口，请求加密设备生产公司的签名；

6）加密机收到请求，首先判断鉴权RSA公钥是否在白名单中；如果是，验证X509证书的生产环境PC机签名；验证通过后，使用加密设备生产公司的RSA根私钥，对X509证书进行签名，并返回给证书签名服务器；

7）签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机；

8）生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。

2.根据权利要求1所述的加密设备生产过程中注入带签名的证书的解决方法，其特征在于：每台生产环境PC机能够通过USB集线器外接多个待出厂的硬件加密设备。