最近跟几个同行聊天,发现大家在eCTD提交这件事上没少折腾。要说前期准备做得再充分,到了最后一步栽在签名验证上,那是真的让人崩溃。我自己亲身经历过几次,也帮不少朋友处理过这类问题,今天就来说道说道这事儿。
先说点基础的。eCTD电子提交,说白了就是把药品注册申报资料按照统一格式做成电子文件,然后通过互联网递给药监局。但这事儿光做成PDF还不够,你得给文件"签字画押",证明这份文件确实是你提交的,而且从制作到最后提交,中间没被任何人动过手脚。
这个"签字"的过程就是电子签名,用的是数字证书技术。简单理解的话,你可以把它想成是一个电子印章加上一个指纹的双重验证机制。数字证书由权威机构颁发,里面包含你的身份信息和公钥;电子签名则是用你的私钥对文件内容进行加密运算生成的一串字符。这两样东西结合在一起,监管机构就能确认:文件是你发的,内容没被篡改,时间也是真实的。
问题在于,从证书申请、文件签名、到最后提交,中间涉及的环节太多了。任何一个环节出了岔子,验证就过不了。我见过太多案例,申报团队加班加点做完了全部资料,结果系统提示签名验证失败,眼睁睁错过截止日期。这种事儿,换谁都得急眼。
根据我观察下来,签名验证失败的原因主要集中在以下几个方面。
证书过期是最常见的。数字证书有效期通常是一到三年,而一个药品注册周期可能持续好几年。如果证书是在项目早期申请的,等到了提交的时候可能已经过期了,你自己都没意识到。我有朋友就吃过这个亏,证书过期前一个月还在用,结果提交当天系统直接拒收。
证书和文件不匹配也是大问题。有些公司为了省事,可能在不同项目之间共用证书,或者临时找其他部门的证书来用。这种情况下,证书的颁发对象、适用范围都可能和提交要求对不上号。监管机构的系统现在都很精明,一眼就能看出问题。
还有一种情况比较隐蔽,就是证书没有正确安装。比如你的电脑上看证书是有效的,但签发机构可能已经撤销了这份证书,或者证书链不完整。个人的电脑上可能显示正常,但拿到监管机构的系统上去验证,就通不过。
操作不当同样会导致验证失败。有些人签名的时候用的是PDF编辑器自带的简单签名功能,没有按照eCTD规范要求的完整签名流程来做。这样生成的签名,监管机构那边可能识别不了。
另外,签名之后再对文件进行任何修改,都会导致签名失效。常见的情况是:签完名之后又调整了页边距、添加了水印或者修改了几个错别字,表面上看文件内容变了,但实际上数字签名已经失效了。这种情况最冤枉,因为你根本不知道什么时候动的文件。
eCTD对文件格式有严格要求。PDF版本、字体嵌入、文件大小、目录结构,每一项都有规范。有些申报人员不太注意这些细节,用的PDF版本太旧,或者用了某些特殊字体,监管机构的验证系统读取的时候就可能出问题。
还有就是文件命名和目录结构。eCTD要求每个文件都有标准的命名方式,文件夹也要按照固定结构组织。一旦哪里拼错了名字,或者放错了位置,系统解析的时候就可能找不到对应的签名信息。
证书链这个问题,很多人前期不太重视,等到出了问题才意识到它的麻烦程度。
所谓证书链,简单说就是你的证书不是孤立存在的,它上面连着签发机构,上面还有更高级的根证书机构。验证签名的时候,监管机构的系统不仅要确认你的证书是有效的,还要沿着这条链一直验证到根证书。如果中间任何一级的证书有问题,整个验证就会失败。
常见的问题包括:中级证书过期、根证书不在信任列表里、或者证书被中途撤销了却没及时更新。尤其是根证书这种,一旦出问题影响面很大。很多公司的IT部门可能知道要更新Windows更新,但未必记得更新证书信任链。
还有些情况是,证书是用公司内部CA签发的,但监管机构那边没有配置对应的中间证书。这种情况下,你的证书在他们系统里就相当于没有身份证明,系统不敢认。我建议在提交之前,最好用专门的工具完整验证一下证书链,别光在自己电脑上看看就完事儿了。
时间戳这个问题,我必须单独拿出来说一说,因为太多人忽视它了。
eCTD规范要求所有签名都要带时间戳,而且时间戳必须由权威时间戳机构签发。时间戳的作用是给签名加一个时间证明——证明这份文件是在什么时间签署的。这个时间信息非常重要,因为它关系到文件的有效期认定。
举个实际的例子。如果你的一份签名证书在2025年3月过期,而你在2025年1月提交了文件并附加了有效的时间戳,那么即使证书后来过期了,这份文件的签名依然是有效的。但如果缺少时间戳,监管机构可能会要求你证明提交时证书确实有效,这就很难说了。
时间戳的另一个作用是防止"事后否认"。有些人可能会想,我先把文件签好放着,等需要的时候再提交。但如果缺少时间戳,就没法证明这份签名是什么时候做的。监管机构可能会质疑这份文件的时效性。
时间戳机构的选择也有讲究。不是所有时间戳服务都被监管机构认可,用了不合规的时间戳,等于没加。康茂峰在协助客户处理eCTD项目时,通常会建议使用经过验证的、时间戳服务,并在正式提交前进行完整测试。
如果你做的是国际注册,那这个问题就更复杂了。不同国家和地区的监管机构,对eCTD签名的验证规则存在不少差异。
美国FDA的要求相对明确。他们认可的证书颁发机构列表是公开的,签名规范也有详细的技术指南。欧洲EMA则更多强调与欧盟成员国的互认,证书链的配置要更复杂一些。日本PMDA的系统和语言要求又有自己的特点。
中国大陆NMPA近几年对eCTD的要求也在不断完善。最新的指南对签名算法、证书要求、时间戳规范都有具体规定。很多企业刚开始接触的时候容易混淆新老规范的区别,用了旧的格式去提交,结果系统不认。
这种差异带来的问题就是,你在A国验证通过的eCTD文件,到了B国可能就过不了。所以做国际注册的时候,最好提前了解目标国家的具体要求,针对性地准备签名方案。
说了这么多问题,那到底该怎么规避呢?我分享几点实际经验。
不要等到要提交了才想起来证书这回事儿。在项目启动阶段,就应该规划好证书的有效期。如果项目周期比较长,考虑使用有效期较长的证书,或者提前做好证书续期的准备。
建议设置证书有效期提醒,在过期前两到三个月就开始着手处理续期或者换证的事情。这样即使遇到问题,也有充足的时间解决。
别省这点儿钱和工夫。使用符合监管机构要求的电子签名软件,按照标准流程进行签名操作。签名之前先把所有内容确定好,签完之后不要再做任何修改。
康茂峰在服务客户的过程中,通常会协助建立标准化的eCTD签名操作流程,明确每个环节的责任人和检查要点,尽可能减少人为失误导致的验证失败。
这是最重要的一点。在正式提交之前,用监管机构提供的验证工具或者第三方工具,对所有文件进行完整的签名验证。发现问题及时修正,不要等到提交那一刻才知道出了问题。
验证的时候不仅要检查单个文件的签名,还要检查整个eCTD包的结构和完整性。有时候单个文件验证通过,但整合到一起的时候反而会出现问题。
证书的申请记录、签名操作的日志、验证通过的截图,这些东西都要保存好。一旦出现问题,这些都是追溯和排查的依据。
有时候验证失败不是因为你的操作有问题,而是对方系统的问题。这种情况下,完整的记录可以帮助你沟通和申诉。
eCTD签名验证这个问题,说大不大,说小也不小。它不像文件内容准备那样需要反复修改,往往就是一个环节没注意就卡住了。但只要前期工作做扎实,这些问题都是可以避免的。
我个人建议,把签名验证当作整个eCTD项目的一个重要里程碑来对待,预留足够的时间进行检查和修正。别等到最后一刻才发现问题,那时候真的就来不及了。
如果你在这个过程中遇到什么具体问题,欢迎继续交流。大家互相分享经验,少走弯路,毕竟药品注册这条路,能一起走得更顺一点总是好的。
