关于CFCA证书的介绍,可参考上一篇文章:CFCA证书 申请 流程(一)_身价五毛的博客-CSDN博客
CFCA测试证书
申请流程
测试证书主要用于在测试环境对所需功能进行验证,例如HTTPS访问等。
首先,向CFCA的支持邮箱(support@cfca.com.cn)发送邮件,描述申请证书的类型和参数,具体包括:
此邮件是自动回复邮件。为了更快捷、高效的为您提供服务,请您仔细阅读如下信息: 本邮箱的职能是提供测试证书,请您务必按照如下内容说明您所需的测试证书信息: 1、测试证书类型:普通测试证书、预植测试证书、普通服务器测试证书; 2、密钥长度:RSA1024、RSA2048、SM2256; 3、证书类型:个人单证、个人双证、企业单证、企业双证、个人复合证书、企业复合证书、普通服务器证书; 需要说明的是:按照国际、国内的相关要求,复合证书默认是(RSA2048单证书+SM2 256双证书)的组合,如果有特殊组合需求,请单独说明。 4、证书数量; 5、申请普通服务器证书,提供证书类型:OCA1/OCA31、密钥长度RSA2048、SM256、提供域名或者IP地址; 6、申请预植测试证书,请提供预植测试证书使用单位的名称或机构编码; 7、申请预植测试证书,请提供CFCAID前六位。 8、如需特定CA请在邮件中提出。 本邮箱服务时间5*8小时工作日时间: 当天客户申请的邮件,将在两个工作日内处理完成;若加急证书,请您致电010-80864867告知,我们会尽快给您回复; 若需要查询测试证书申请进度等相关信息; 请拨打电话:010-80864867 如需获得技术支持:您可以拨打7*24小时客服电话:400 880 9888 测试证书下载地址: http://cstest.cfca.com.cn。 普通SM2服务器测试证书下载地址:Certificate Hall
邮件名称通常为本机构名称+系统名称+申请XXX证书+数量,最好使用本机构的工作邮箱申请,CFCA通常为对公用途,申请门槛也会比较高。
证书类型 OCA1/OCA31
这两种类型在CFCA中分属两个系统来完成证书制作流程,OCA31的证书复杂度和安全性都比较高,不太常用,一般选择OCA1即可。
下载流程
邮件发送后等待1-2个工作日,会收到回复邮件,并附带申请结果,通常为:
您好:
证书已申请完成,两码如下:
证书DN CN=<域名>,O=<本机构中文名称>,L=北京,ST=北京,C=CN 序列号 十位阿拉伯数字 授权码 十位字母数字混合字符串
拿到两码后,需要进入测试证书下载网址( http://cstest.cfca.com.cn )输入序列号和授权码后下载证书文件。
两码仅可以使用一次,可以选择用户证书或者web服务器证书使用,两者下载的证书不同。对于用户证书,首次使用还需要安装控件,如上图所示。
用户证书和普通服务器证书的区别
证书通常是逐级签发的,根据签发关系形成证书链,也即信任链。证书链的终点为根证书,是第三方被大家信任的认证机构自签名的证书,通用户证书和服务器证书都有根证书签发。
服务器证书,简单理解为服务器使用的证书,证明某个服务器/网站是某个组织的,使得用户可以信任该站点,可以用来做ssl证书或者证书链的中间证书。例如在HTTPS中,服务器需要把ssl证书发送给浏览器,来完成对网页内容和用户交互数据传输的加密。
用户证书,即用户个人的证书,用来证明你是你的证明。如果对于证书颁发机构和服务器来说你可以理解为你申请的ssl证书;对于服务器-客户端交互来说是客户端的证书,比如我们的u盾。
更多科普:https://blog.csdn.net/roddger1/article/details/108222673
Web服务器证书下载
通常使用的均为Web服务器证书,在页面中填入两码,并填写CSR后等待一段时间即可得到可下载的证书。下载成功之后得到以 .cer 结尾的公钥证书。
CSR是生成证书签名请求,CSR是SSL证书的核心组成部分,包含了申请者的公钥和相关信息。在申请SSL证书之前,需要生成一个CSR文件,并将其发送给证书颁发机构(CA)。
如何创建PKCS#10申请书
使用 keytool 工具:
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore server.jks
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: ***
您的组织单位名称是什么?
[Unknown]: ****科技股份有限公司
您的组织名称是什么?
[Unknown]: 研发部
您所在的城市或区域名称是什么?
[Unknown]: **
您所在的省/市/自治区名称是什么?
[Unknown]: **
该单位的双字母国家/地区代码是什么?
[Unknown]: CN
CN=***, OU=****科技股份有限公司, O=研发部, L=**, ST=**, C=CN
是否正确?
[否]: Y输入 <server> 的密钥口令
(如果和密钥库口令相同, 按回车):
再次输入新口令:
keytool -certreq -sigalg SHA256withRSA -alias server -keystore server.jks -file certreq.csr
输入密钥库口令:
将P10申请书内容拷贝到页面中即可完成证书申请。
证书使用
下载的证书为通用格式,可以直接配置到Nginx使用,如需格式转换,可进行如下操作:
1)导入证书
将从页面下载得到的.cer结尾的文件导入创建PKCS#10申请书时获得的.jks文件。命令如下:
keytool -import -alias evca -keystore d:\server.jks -trustcacerts -file d:\*.cer2)证书格式转换
将上述得到的.jks文件转换为.pfx文件。命令如下:
keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12注意事项
使用CFCA的证书可能需要安装根证书,需要在实际场景下验证(取决于操作系统类型和浏览器配置,通常内网需要配置)
用户证书和服务器证书为两种不同证书,申请到的两码是一次性的,使用后立即失效,如果选错只能重新申请。通常大多数场景下均为服务器证书。
CFCA生产证书申请流程
生产证书具有官方效力,因此需要填写《机构证书申请表》,填写证书种类、签名算法和业务类型等信息,填写申请机构信息(证件号码、域名等),填写机构经办人信息(身份证号码、联系方式、地址等),打印后由机构盖章并为办理人出具介绍信,由经办人持本人身份证及申请表线下办理。
也可通过系统在线申请证书,线上申请平台:数字证书在线申请平台
参考:
证书操作命令:证书操作(openssl、keytool)_cn=,ou=organizational-1,ou=tpc-s3,o=cfca oca31,c=c_mhc9348的博客-CSDN博客
PKCS #10和PKCS #7 申请书:使用 PKCS #10 或 PKCS #7 文件申请证书 - Windows 证书管理 帮助文档 - 开发文档 - 文江博客
cfca数字证书证书申请制作流程:
https://www.cnblogs.com/wangqinyou/p/10696856.html
《CFCA数字证书服务协议》:《CFCA数字证书服务协议》 - 中国金融认证中心
