為了能在高安全的環境中與合作伙伴傳輸處理各類電子檔案資訊，FDA推出了ESG解決方案用於接收、處理電子監管資訊。 FDA ESG遵循安全傳輸協議標準，要求ESG賬戶在提交電子資訊過程中必須使用 保證通訊安全。

關於ESG

Electronic Submissions Gateway 簡稱ESG，是一個具有高擴充套件性、高效能且方便使用的安全閘道器，能夠讓ESG賬戶安全提交藥企產品相關的申報資料。此外，ESG是FDA安全接收處理所有電子資訊的唯一入口，同時也方便FDA自動處理這些監管資訊。

FDA 規定： 所有ESG賬戶必須使用數字證書保證通訊安全，而數字證書須包含註冊ESG賬戶時使用的全名或正確的電子郵件地址。

ESG 系統要求使用金鑰長度為1024位、2048位或3072位的數字證書，不接受其他金鑰長度，如512或4096位。

什麼是數字證書

數字證書是符合國際電信聯盟X.509規範的電子檔案。這個檔案通常包含證書所有者資訊、公鑰、證書有效期、證書的序列號以及頒發者的名稱和數字簽名。數字證書將所有者資訊和可用於加密和數字簽名的金鑰對繫結在一起。

使用數字證書對文件進行加密和數字簽名有以下保障：

l 保證檔案的完整性。只有收件人才能閱讀郵件，未經授權的使用者無法查閱郵件資訊。

l 防止郵件被第三方篡改。郵件經加密後他人無法更改、新增或刪除資料。

l 數字簽名功能可對發件人進行身份驗證，讓收件人確認接收到真實發件人的簽名郵件，防止被釣魚。

l 不可否認性。數字簽名讓傳送方不能否認他們沒有傳送過郵件，也可以讓收件人不能否認未收到郵件。

l ESG 賬戶必須使用數字證書，且證書中須包含註冊ESG賬戶時使用的全名或電子郵件地址。

（證書所有者需與ESG賬戶名稱或郵件地址一致）

數字證書認證

FDA 證書中的公鑰用於加密要傳輸的檔案。FDA ESG使用公鑰驗證從指定來源收到的檔案的數字簽名。

在與FDA ESG傳送加密和簽名的檔案之前，必須進行證書交換以獲取對方的證書公鑰。接收檔案的雙方都需要獲取基於公鑰基礎設施（PKI）生成的證書，這種數字證書可以透過生成自簽名證書獲得，也可以直接從證書頒發機構獲取。私鑰將永遠儲存在各自的計算機上，公鑰和證書則需要在註冊過程中提供給FDA ESG。

註冊模組不接受的證書

如果在ESG註冊時存在有效證書不被接受，並被識別為無效的情況時，請將證書檔案壓縮並透過電子郵件傳送給FDA ESG管理員，電子郵件地址為ESGHelpDesk@fda.hhs.gov。FDA收到後，將盡快驗證該證書並及時做出回覆。

FDA ESG 不接受的證書

FDA ESG 不接受在頒發者或主體欄位中包含空白資料的證書 。由於閘道器軟體存在缺陷，這種證書會導致FDA 電子提交檔案失敗。另外，自提交FDA ESG之日起，鎖提供的數字證書有效期至少為一年。請注意，此要求同樣適用於測試中和生產中的ESG系統。

獲取證書途徑

FDA ESG 僅支援（PKI）結構為基礎的X.509證書，以此來保障安全的網路通訊。PKI是一個元件系統，它使用數字證書和公開金鑰機制來保護交易和通訊。

PKI 系統中可分為 自簽名，私有和公共PKI。不論選擇哪類PKI都應考慮到各種因素，例如成本，人力和系統資源，以及所需的安全程度或複雜程度。PKI能建立可信的數字身份，這少不了證書頒發機構（CA）的參與。CA除了可生成證書之外，還需要根據既定的政策和程式驗證申請者身份。私有和公共PKI就屬於這種情況。

自簽名證書

使用者可自己建立自簽名證書，自簽名證書最大的優點是方便，成本低；最大的缺點是高風險，因為自簽名無需經第三方驗證身份。

企業生成、使用自簽名證書時，通訊雙方必須相互驗證證書並建立直接信任。可信任的身份一旦建立，包含信任錨的證書就會儲存在本地信任列表中。FDA ESG 有一個本地信任列表，用於儲存和管理已建立的信任關係。像儲存在Web瀏覽器中的CA證書一樣，FDA ESG也儲存公共CA證書列表。雖然自簽名證書很方便，但這種預先就已建立的信任可能無法滿足每個企業的安全策略。 FDA ESG明確要求AS2（閘道器到閘道器）使用者不能使用自簽名證書。

私有PKI

儘管私有PKI對企業安全策略和程式實現完全控制成為可能，但也同時承擔建立、維護私有PKI的管理和成本負擔。因為私有PKI設定複雜，花費成本高，如果企業沒有熟練的技術人員對其進行後期維護，建議使用公共PKI。

公共PKI

公共PKI即透過第三方證書頒發機構CA或服務商購買X.509證書。與自簽名證書相比，CA頒發的證書安全性更高，不易被惡意攻擊者攔截或遭受中間人攻擊。與私有PKI證書部署相比，直接從CA或其代理服務商購買證書更易於部署，管理更加方便。

以下是FDA支援的可用於身份認證的數字證書品牌： （包括但不僅限於以下品牌）

Digicert
Sectigo
Globalsign
sslTrus

與FDA ESG一起使用的數字證書的最低要求是個人客戶端證書（即郵件安全證書）。 上述數字證書品牌列表均符合FDA ESG要求，可在 銳成資訊選擇所需郵件安全證書申請、驗證並獲取證書後即可將郵件證書匯入到ESG賬戶上。

如何在ESG賬戶上更新數字證書

1. 從銳成資訊平臺獲取可信數字證書。

2. 將公鑰用郵件傳送至 ESGHelpDesk@fda.hhs.gov，並提供以下資訊：

l 主賬戶持有人姓名

l ESG 賬戶名稱

3. 最後您將收到的確認郵件，通知您的公鑰已上傳。請注意，如果您更改公鑰後，在ESG提交時也應使用相匹配的私鑰。

小結

總的來說，國內藥企想要獲得FDA認證，必須使用數字證書提交申報資訊，透過數字簽名和公鑰加密技術有效保護各類文件資訊的真實性、完整性和有效性。

原文名為《FDA ESG規定：必須使用數字證書保證通訊安全》，轉載地址：https://www.racent.com/blog/fda-esg-require-digital-certificates-for-secure-communication

FDA ESG的數字簽名證書是什麼？怎麼獲取FDA ESG 數字證書？