服务器证书制作指南.doc

服务器证书制作指南 服务器证书制作中，需要完成以下工作： 根据人民银行总行的通知进行证书申请 1、参照密钥及证书文件生成工具使用手册（见附件），利用改工具产生一对密钥对，生成一个证书申请文件。 2、由人民银行发放各机构所需的CER格式证书。 3、各机构获得人民银行发放的CER格式证书后，参照密钥及证书文件生成工具使用手册（见附件），利用该工具生成PFX证书文件。 二、证书应用 在Unix和Linux下用C语言开发的CA认证接口程序，需要使用人民银行提供的生产系统P7b格式的根证书链,替换测试所用的根证书链。该根证书链由人民银行的两级根证书“O=CFCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”生成。 其他情况直接使用所提供的两张根证书，“O=CFCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”替换测试所用的两张根证书。 用各机构生成的PFX证书文件替换测试所用的PFX证书文件。 用人民银行内网CA生产系统的最新证书撤销列表（CRL）替换测试所用的证书撤销列表(CRL)。 附件： 密钥及证书文件生成工具使用手册 前 言 本文档提供了如下的内容： 证书申请产生密钥对的工具使用方法 对申请到的CER证书转换为应用系统所需要的PFX证书工具的使用方法 PFX证书保护的方法。 目 录 1 准备工作 5 2 启动KeytoolGUI工具 5 3 证书制作 5 3.1 导入信任根证书 5 3.2 生成证书 10 3.2.1 产生密钥对 10 3.2.2 通过RA系统生成CER文件 16 3.2.3 导入人民银行内网CA签发的服务器cer证书 19 3.2.4 导出pfx文件 21 4 密钥的安全保护 23 KeytoolGUI工具是一个Java图形界面的密钥库管理工具，支持JKS、PKCS12（pfx文件）等密钥库格式。 KeytoolGUI工具,其实是一个打包工具，不要把它简单当作证书的制作工具，它是把CFCA证书、PBC证书和服务器证书打包的过程，形成一个有效证书链，它里面带有产生密钥对的工具，我们最后产生的.PFX格式文件是一个包含CFCA证书及公钥、PBC证书及公钥和服务器证书及一对密钥。 准备工作 使用该工具前从人民银行获得其内网CA生产系统的两级根证书“O=CFCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”。 启动KeytoolGUI工具 启动该工具需要有jre环境，最好是1.4版本。设置好jre/bin路径，达到在命令行中键入java命令可以出现提示的效果后，运行run.cmd即可启动，该软件路径是吕毅共享目录中的Z:\13-CA\RA\工具及材料\KeytoolGUI工具\KeyTool1.6。 启动后界面如下： 证书制作 导入信任根证书 将人民银行的两张根证书（证书位置吕毅共享目录中Z:\13-CA\RA\工具及材料\生产系统根证书P7B根证书链及CRL）分别导入该工具，导入过程一致，如下： 1．选择File菜单中的New Keystore，新建一个jks格式的keystore，如图： 2．选择JKS格式，点击OK。出现如下界面：（和第一张图相比，工具栏图标已经可见） 3．点击工具栏的导入信任根证书图标（如下图），或按Ctrl+T。 4．出现如下界面，此时即可选择根证书文件执行导入，如图需要把CFCA和PBC两张证书分别导入(否则，后面生成的CER导入密钥对时会报错误)，导入CFCA证书用于给以后生成的服务器证书签名是CFCA签发的，导入PBC证书用于给以后生成的服务器证书签名是人民银行签发的。 导入过程中会提示该证书无法验证信任路径，并将证书信息显示出来，询问是否信任等对话框，一直确定后，给根证书任意取一个别名，即完成了根证书的导入工作，如下图。 点击确定。 点击OK。 点击是。 输入别名，这里输入test,可根据情况填写，然后点击OK。 点击确定。 生成证书 产生密钥对 1.点击工具栏产生密钥对的图标，如图： 2．点击后出现选择密钥对算法的选择框，如下图：默认是DSA算法，注意一定要选择RSA算法！！！ 3．点击OK按钮后，即产生密钥对，之后会要求输入证书的DN信息，如图： 其中Signature Algorithm，选择SHA1whithRSA，有效期填两年（按照设备证书要求的时间来规定，一般为3年），Common Name项填写应用服务器IP地址或机构域名，Statename不填，其余按照人行