服务器证书制作指南

1、服务器证书制作指南服务器证书制作指南服务器证书制作中，需要完成以下工作：一、根据人民银行总行的通知进行证书申请1、参照密钥及证书文件生成工具使用手册（见附件） ，利用改工具产生一对密钥对，生成一个证书申请文件。2、由人民银行发放各机构所需的 CER 格式证书。3、各机构获得人民银行发放的 CER 格式证书后，参照密钥及证书文件生成工具使用手册（见附件） ，利用该工具生成 PFX 证书文件。二、证书应用1、在 Unix 和 Linux 下用 C 语言开发的 CA 认证接口程序，需要使用人民银行提供的生产系统 P7b 格式的根证书链,替换测试所用的根证书链。该根证书链由人民银行的两级根证书“O=C

2、FCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”生成。2、其他情况直接使用所提供的两张根证书， “O=CFCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”替换测试所用的两张根证书。3、用各机构生成的 PFX 证书文件替换测试所用的 PFX 证书文件。4、用人民银行内网 CA 生产系统的最新证书撤销列表（CRL）替换测试所用的证书撤销列表(CRL)。附件：附件： 密钥及证书文件生成工具使用手册前 言本文档提供了如下的内容：1.证书申请产生密钥对的工具使用方法2.对申请到的 CER 证书转换为应用系统所需要的 PFX 证书工具的使用

3、方法3.PFX 证书保护的方法。目 录1准备工作.52启动 KEYTOOLGUI 工具.53证书制作.53.1导入信任根证书.53.2生成证书.103.2.1产生密钥对.103.2.2通过RA系统生成CER文件.163.2.3导入人民银行内网CA签发的服务器cer证书.193.2.4导出pfx文件.214密钥的安全保护.23KeytoolGUI 工具是一个 Java 图形界面的密钥库管理工具，支持 JKS、PKCS12（pfx 文件）等密钥库格式。KeytoolGUI 工具,其实是一个打包工具，不要把它简单当作证书的制作工具，它是把CFCA 证书、PBC 证书和服务器证书打包的过程，形成一个有

4、效证书链，它里面带有产生密钥对的工具，我们最后产生的.PFX 格式文件是一个包含 CFCA 证书及公钥、PBC 证书及公钥和服务器证书及一对密钥。1 准备工作准备工作使用该工具前从人民银行获得其内网 CA 生产系统的两级根证书“O=CFCA Root CA，C=CN.cer”和“O=PBC CA，C=CN.cer”。2 启动启动 KeytoolGUI 工具工具启动该工具需要有 jre 环境，最好是 1.4 版本。设置好 jre/bin 路径，达到在命令行中键入 java 命令可以出现提示的效果后，运行 run.cmd 即可启动，该软件路径是吕毅共享目录中的 Z:13-CARA工具及材料Keyt

5、oolGUI 工具KeyTool1.6。启动后界面如下：3 证书制作证书制作3.1 导入信任根证书导入信任根证书将人民银行的两张根证书（证书位置吕毅共享目录中将人民银行的两张根证书（证书位置吕毅共享目录中 Z:13-CARA工具及材料工具及材料生产系统生产系统根证书根证书 P7B 根证书链及根证书链及 CRL）分别导入该工具，导入过程一致，如下：）分别导入该工具，导入过程一致，如下：1选择 File 菜单中的 New Keystore，新建一个 jks 格式的 keystore，如图：2选择 JKS 格式，点击 OK。出现如下界面：（和第一张图相比，工具栏图标已经可见）3点击工具栏的导入信任根

6、证书图标（如下图） ，或按 Ctrl+T。 4出现如下界面，此时即可选择根证书文件执行导入，如图需要把 CFCA 和 PBC 两张证书分别导入(否则，后面生成的 CER 导入密钥对时会报错误)，导入 CFCA 证书用于给以后生成的服务器证书签名是 CFCA 签发的，导入 PBC 证书用于给以后生成的服务器证书签名是人民银行签发的。导入过程中会提示该证书无法验证信任路径，并将证书信息显示出来，询问是否信任等对话框，一直确定后，给根证书任意取一个别名，即完成了根证书的导入工作，如下图。点击确定。点击 OK。点击是。输入别名，这里输入 test,可根据情况填写，然后点击 OK。点击确定。3.2 生成

7、证书生成证书3.2.1产生密钥对产生密钥对1.点击工具栏产生密钥对的图标，如图：2点击后出现选择密钥对算法的选择框，如下图：默认是默认是 DSA 算法，注意一定算法，注意一定要选择要选择 RSA 算法！算法！3点击 OK 按钮后，即产生密钥对，之后会要求输入证书的 DN 信息，如图：其中 Signature Algorithm，选择 SHA1whithRSA，有效期填两年（按照设备证书要求的时间来规定，一般为 3 年） ，Common Name 项填写应用服务器 IP 地址或机构域名，Statename 不填，其余按照人行要求的 DN 内容填写。validity（days）指要用这个密钥对制作

8、服务器证书的有效期限。Common Name（CN）一般填写应用服务器证书使用的服务器的 Ip 地址或者主机名，否则服务器证书使用过程中可能会报错，证书信息和服务器信息不符。其他选项为可选项，可以不用填写，建议按照要求填写。4填写完毕后，为该证书取一个别名，默认是 CN 项所填的内容，一般我们会把它命名为应用服务器的 IP 地址或者主机名。5点击 OK，会要求给该密钥对一个保护密码：如图：输入密码后，点击 OK，即提示密钥对产生成功，注意：密码长度应该至少 6 个字符。6产生成功密钥对之后，该密钥对即被列出来，在其上点击右键，出现如下菜单：选择 Genereate CSR 选项，生成请求，选择

9、存储路径后，给文件起一个文件名，这里输入 WEBSERVER，即可将请求保存到文件中。点击 Generate。点击确定。保存的文件没有后缀名，但可以以文本或者记事本方式打开，如图，为这样的一个文件。7点击文件菜单中的保存 savestore，来保存存储私钥的 Keystore 文件，用以完成PFX 证书文件的生成，存储的密钥对也可以用来产生多个 CSR 文件，做多个服务器证书，但是最好不要这样，因为密钥对包含一些信息，防止泄露，针对制作每一个服务器证书，都要重新产生一个密钥对。如下图：注意：密钥对生成后，将证书申请文件交给人民银行，生成各级机构所需的 CER 格式证书。3.2.2通过通过 RA

10、 系统生成系统生成 CER 文件文件1、 进入人民银行 RA 系统，2/ra/index.jsp，如图。2、 进入信息录入，证书类型选择 WWW 服务器证书，信息按照证书设备申请表来对应填写，其中组织机构项为必填项，选择机构中只有人民银行及其分支机构，为商业银行制作服务器证书时，此项选择制证单位，如石家庄中支给商业银行制证，此项就选择石家庄中支，而不是商业银行，但在下面的证书申请原因中填写上具体是给哪个商业银行哪个系统制作的证书。填写完毕后，点击确定。3、 进入信息审核，审核申请。点击审核通过，完成审核。4、 进入制证。点击制证。这里需要将前面生成 CSR

11、 文件里面的内容按要求拷贝到录入框中，是一串字符代码，如图。点击下载证书，返回页面如下，我们可以看到返回的是一串字符串。 将编辑框中的数据拷贝到文本文件中保存为.cer 的文件，新建文本文件，将编辑框中的数据拷贝进去，然后保存，后缀 txt 直接改为 cer 即可，如图。这时您所操作的证书的状态将由“已审核”变成“激活” 。3.2.3导入人民银行内网导入人民银行内网 CA 签发的服务器签发的服务器 cer 证书证书1、用文本文件打开从人民银行发放的 CER 格式证书，在头加入： -BEGIN CERTIFICATE -和回车，尾部回车后加入：-END CERTIFICATE-和回车。2、在 CA 根据请求签发 cer 证书后，即可将 cer 证书导入到 Keystore 中。在密钥对列表上点击右键，选择菜单中的 Import CA Reply，如图： 选中 CER 文件 1，点击 import。3.2.4导出导出 pfx 文件文件1.导入证书后，在密钥对图标上点击右键，选择 Export，如图： 2.然后出现如下界面时，选择 Private key and Certificates。点击 OK。3.点击 OK 后，会要求输入密钥对的保护密码，输入设定的保护密码后，会再次要求设置导出 PFX 文件的保护密码，输入后保存文件即可，保存文件除了输入文件