传染病网络直报系统CA证书

环度小编：xadmin

传染病上报系统需要前置 CA 证书（一种单位证书），通常不是让你在浏览器里随便装个证书，而是要求医院的上报前置机/接口服务与上级平台（省/市疾控网关或国家直报网关）建立“双向 TLS（mTLS）”连接。也就是：

平台用它的服务器证书证明“我真的是网关”；

医院前置机用“客户端证书（由 相关 CA 签发）”证明“我就是这家医院的合法主体”。这样可以做到身份校验、传输加密、完整性校验与审计追溯。

这种机构数字证书可以在线申请：https://www.ihuandu.com/product/136.html 

对前置CA证书（单位证书）具体的文件要求：

“为保障前置软件安全运行，各医疗机构需保障其部署环境安全和数据存储安全。按需自行配备防病毒、防火墙、入侵防御IPS、URL过滤等安全相关功能的设备。必须配备单位数字证书（采用国密算法，应采用双证书即包含有签名证书和加密证书，分别用于数字签名及数据加密）和按需配套密码产品或服务以保障存储、传输的完整性、保密性和不可否认性，所用CA证书应与现有传染病网络直报系统采用的CA证书兼容互认。同时医疗机构需建立工作制度，做好前置软件的日常运维和安全保障工作，发现安全问题或漏洞，及时提交相关方处置。”

前置CA证书为什么现在普遍要求

合规：等保 2.0、政务数据安全与个人信息保护要求更严格，账号+密码或纯 IP 白名单已不够。

统一身份：用机构证书/个人证书把“谁在报、从哪台服务报”固化到证书里，便于审计。

密码套件升级：逐步要求 TLS 1.2/1.3，部分地区还要求国密套件（SM2/SM3/SM4）。

前置CA证书对医院意味着什么

证书类型

机构客户端证书：绑定医院主体（常含统一社会信用代码），给“前置机/接口服务”用。形式可能是 PFX/P12 软证书，或 USBKey（需服务能调用）。

信任链：平台会给出根/中间 CA证书，需导入到前置机的“信任”仓库。

有的省还对“个人证书（医生/责任人）”做登录签名，这和接口机器证书分开。

部署形态

接口服务/前置机模式（最常见）：你的集成服务（Nginx、IIS、Java 网关、.NET/Go 服务等）在对外请求时携带客户端证书，开启 mTLS。

浏览器登录模式：通过 USBKey+控件登录直报网页（近年来逐步减少，易受浏览器插件限制）。

网络要求

常在政务外网/专线环境；需要放通目标网关 IP/端口、CRL/OCSP 联网、NTP 校时（证书时间偏差会失败）。

防火墙/代理要允许 TLS 直通，避免中间人检查导致握手失败。

有效期与续期

证书一般 1–3 年，快到期需重新签发、替换并灰度验证；建议到期前 ≥30 天预警。

在哪里申请这种前置CA证书

在线申请：https://www.ihuandu.com/product/136.html 

这个“前置 CA 证书”不能随便买，目前可以提供这种符合要求的机构证书的CA并不多，环度网信是相关的CA代理商，可以通过环度网信来办理这种前置CA数字证书，目标是给医院“前置机/接口服务”做单位机构证书（多为国密 SM2，双证：签名证书+加密证书），用于和上级网关走双向 TLS（mTLS）。

更多信息，请联系环度网信：400-9989-115