CFCA证书 申请 流程（二）

关于CFCA证书的介绍，可参考上一篇文章：CFCA证书 申请 流程（一）_身价五毛的博客-CSDN博客

CFCA测试证书

申请流程

测试证书主要用于在测试环境对所需功能进行验证，例如HTTPS访问等。

首先，向CFCA的支持邮箱（support@cfca.com.cn）发送邮件，描述申请证书的类型和参数，具体包括：

此邮件是自动回复邮件。为了更快捷、高效的为您提供服务，请您仔细阅读如下信息：
本邮箱的职能是提供测试证书，请您务必按照如下内容说明您所需的测试证书信息：
1、测试证书类型：普通测试证书、预植测试证书、普通服务器测试证书；
2、密钥长度：RSA1024、RSA2048、SM2256；
3、证书类型：个人单证、个人双证、企业单证、企业双证、个人复合证书、企业复合证书、普通服务器证书；
需要说明的是：按照国际、国内的相关要求，复合证书默认是（RSA2048单证书+SM2 256双证书）的组合，如果有特殊组合需求，请单独说明。
4、证书数量；
5、申请普通服务器证书，提供证书类型：OCA1/OCA31、密钥长度RSA2048、SM256、提供域名或者IP地址；
6、申请预植测试证书，请提供预植测试证书使用单位的名称或机构编码；
7、申请预植测试证书，请提供CFCAID前六位。
8、如需特定CA请在邮件中提出。

本邮箱服务时间5*8小时工作日时间：
当天客户申请的邮件，将在两个工作日内处理完成；若加急证书，请您致电010-80864867告知，我们会尽快给您回复；
若需要查询测试证书申请进度等相关信息；
请拨打电话：010-80864867
如需获得技术支持：您可以拨打7*24小时客服电话：400 880 9888
测试证书下载地址： http://cstest.cfca.com.cn。
普通SM2服务器测试证书下载地址：Certificate Hall

邮件名称通常为本机构名称+系统名称+申请XXX证书+数量，最好使用本机构的工作邮箱申请，CFCA通常为对公用途，申请门槛也会比较高。

证书类型 OCA1/OCA31

这两种类型在CFCA中分属两个系统来完成证书制作流程，OCA31的证书复杂度和安全性都比较高，不太常用，一般选择OCA1即可。

下载流程

邮件发送后等待1-2个工作日，会收到回复邮件，并附带申请结果，通常为：

您好：
    证书已申请完成，两码如下：

证书DN	CN=<域名>,O=<本机构中文名称>,L=北京,ST=北京,C=CN
序列号	十位阿拉伯数字
授权码	十位字母数字混合字符串

拿到两码后，需要进入测试证书下载网址（ http://cstest.cfca.com.cn ）输入序列号和授权码后下载证书文件。

两码仅可以使用一次，可以选择用户证书或者web服务器证书使用，两者下载的证书不同。对于用户证书，首次使用还需要安装控件，如上图所示。

用户证书和普通服务器证书的区别

证书通常是逐级签发的，根据签发关系形成证书链，也即信任链。证书链的终点为根证书，是第三方被大家信任的认证机构自签名的证书，通用户证书和服务器证书都有根证书签发。

服务器证书，简单理解为服务器使用的证书，证明某个服务器/网站是某个组织的，使得用户可以信任该站点，可以用来做ssl证书或者证书链的中间证书。例如在HTTPS中，服务器需要把ssl证书发送给浏览器，来完成对网页内容和用户交互数据传输的加密。

用户证书，即用户个人的证书，用来证明你是你的证明。如果对于证书颁发机构和服务器来说你可以理解为你申请的ssl证书；对于服务器-客户端交互来说是客户端的证书，比如我们的u盾。

更多科普：https://blog.csdn.net/roddger1/article/details/108222673

Web服务器证书下载

通常使用的均为Web服务器证书，在页面中填入两码，并填写CSR后等待一段时间即可得到可下载的证书。下载成功之后得到以 .cer 结尾的公钥证书。

CSR是生成证书签名请求，CSR是SSL证书的核心组成部分，包含了申请者的公钥和相关信息。在申请SSL证书之前，需要生成一个CSR文件，并将其发送给证书颁发机构(CA)。

如何创建PKCS#10申请书

使用 keytool 工具：

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore server.jks
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: ***
您的组织单位名称是什么?
[Unknown]: ****科技股份有限公司
您的组织名称是什么?
[Unknown]: 研发部
您所在的城市或区域名称是什么?
[Unknown]: **
您所在的省/市/自治区名称是什么?
[Unknown]: **
该单位的双字母国家/地区代码是什么?
[Unknown]: CN
CN=***, OU=****科技股份有限公司, O=研发部, L=**, ST=**, C=CN
是否正确?
[否]: Y

输入 <server> 的密钥口令
(如果和密钥库口令相同, 按回车):
再次输入新口令:

keytool -certreq -sigalg SHA256withRSA -alias server -keystore server.jks -file certreq.csr
输入密钥库口令: 

将P10申请书内容拷贝到页面中即可完成证书申请。 

证书使用

下载的证书为通用格式，可以直接配置到Nginx使用，如需格式转换，可进行如下操作：

1）导入证书
将从页面下载得到的.cer结尾的文件导入创建PKCS#10申请书时获得的.jks文件。命令如下：

keytool -import -alias evca -keystore d:\server.jks -trustcacerts -file d:\*.cer

2）证书格式转换
将上述得到的.jks文件转换为.pfx文件。命令如下：

keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12

注意事项

使用CFCA的证书可能需要安装根证书，需要在实际场景下验证（取决于操作系统类型和浏览器配置，通常内网需要配置）

用户证书和服务器证书为两种不同证书，申请到的两码是一次性的，使用后立即失效，如果选错只能重新申请。通常大多数场景下均为服务器证书。

CFCA生产证书申请流程

生产证书具有官方效力，因此需要填写《机构证书申请表》，填写证书种类、签名算法和业务类型等信息，填写申请机构信息（证件号码、域名等），填写机构经办人信息（身份证号码、联系方式、地址等），打印后由机构盖章并为办理人出具介绍信，由经办人持本人身份证及申请表线下办理。

也可通过系统在线申请证书，线上申请平台：数字证书在线申请平台

参考：

证书操作命令：证书操作(openssl、keytool)_cn=,ou=organizational-1,ou=tpc-s3,o=cfca oca31,c=c_mhc9348的博客-CSDN博客

PKCS #10和PKCS #7 申请书：使用 PKCS #10 或 PKCS #7 文件申请证书 - Windows 证书管理 帮助文档 - 开发文档 - 文江博客 

cfca数字证书证书申请制作流程：

https://www.cnblogs.com/wangqinyou/p/10696856.html

《CFCA数字证书服务协议》：《CFCA数字证书服务协议》 - 中国金融认证中心 

CFCA预植证书DN规则(V2.0) - 豆丁网

CFCA预植数字证书服务