CFCA全球服务器证书技术手册

中国金融认证中心CFCA全球服务器证书技术手册CFCA全球服务器证书技术手册中国金融认证中心技术支持部2014年4月中国金融认证中心CFCA全球服务器证书技术手册文档修订记录版本内容日期编写审核1.0初稿2013.3.7张诚2.0增加证书格式转换2013.12.2张诚2.1增加SSL访问慢等常见问题2014.1.9张诚2.2增加手机使用证书的情况2014.1.20张诚2.3修改部分应用证书链配置2014.4.16张诚中国金融认证中心CFCA全球服务器证书技术手册目录一、CFCA全球服务器证书介绍..............................1二、CFCA全球服务器证书办理..............................1三、CFCA全球服务器证书制作..............................23.1制作步骤.........................................23.2证书格式.........................................23.3使用Keytool工具制作证书..........................33.4使用OpenSSL工具制作证书..........................63.5使用iKeyman工具制作证书..........................83.6证书格式转换....................................133.6.1JKS转换为PFX...............................143.6.2PFX转换为JKS...............................163.6.3KEY&CRT转换为PFX...........................183.6.4PFX转换为KEY&CRT...........................193.6.5KDB转换为PFX...............................193.6.6PFX转换为KDB...............................203.7应用服务证书配置.................................243.7.1Apache证书配置.............................243.7.2Tomcat证书配置.............................25中国金融认证中心CFCA全球服务器证书技术手册3.7.3Nginx证书配置..............................263.7.4Weblogic证书配置...........................273.7.5IBMHttpServer证书配置....................303.7.6JBoss证书配置..............................313.7.7IIS证书配置................................31中国金融认证中心CFCA全球服务器证书技术手册1一、CFCA全球服务器证书介绍中国金融认证中心（ChinaFinancialCertificateAuthority，简称CFCA）全球服务器证书（GlobalTrustCertificate，简称GTC）是发放给全球范围网站的数字证书。CFCA全球服务器证书已经加入微软根证书项目成员（WindowsRootCertificateProgramMembers），其根证书已经预植到微软的InternetExplorer浏览器中。CFCA全球服务器证书相当于Web站点的网络身份证，可为Web站点提供身份鉴定，并为Web站点提供高强度安全加密传输，保证信息在传输过程中的安全，能够有效地防止信息传输过程中的网络钓鱼、窃听、篡改等安全问题。CFCA全球服务器证书具有如下特点：证书两年有效期；证书包含企业身份信息；证书两个工作日快速签发；证书有效期内无限次免费重发；证书到期前三个月内自动通知；证书支持主流Web应用服务；证书支持微软InternetExplorer、搜狗、遨游等主流浏览器；证书支持128位至256位加密强度；最高人民币500,000.00元客户赔付保障；二、CFCA全球服务器证书办理证书订户需要向CFCA提供如下材料：1、证书申请表；2、至少一种机构身份证件（如，企业营业执照副本复印件）；3、申请人的个人身份证件（如，申请人身份证复印件）；4、机构授予申请人的授权证明；5、域名或者公网IP的证明（内网IP不能申请）；中国金融认证中心CFCA全球服务器证书技术手册26、证书申请CSR文件；其中，第5项，如检查域名非申请机构所有，则需要申请机构提供该域名属主出具的的唯一使用该域名的授权证明材料；如使用公网IP，需提供网络运营商出具的IP授权使用证明。第6项，生成CSR文件，DN规则要求符合如下规范：1、DN中各项顺序依次为：CN、OU、O、L、ST、C；2、CN项必须是域名或者公网IP，不能使用内网IP3、O项必须是订户的真实名称；4、C项必须是C=CN以上材料除第6项外，均需加盖公章。所盖公章为机构公章，不可使用部门章、业务章等，并且公章的名称要与机构名称一致。证书订户提交的申请，由CFCA审核通过后，将公钥证书和证书链反馈给订户。三、CFCA全球服务器证书制作3.1制作步骤CFCA全球服务器证书，制作步骤如下：1、证书订户产生证书文件（含密钥对）；2、证书订户通过证书文件，产生证书请求（CSR，也称P10请求）；3、证书订户将证书请求（CSR）提交给CFCA；4、CFCA签发证书公钥，并提供证书链；5、证书订户将证书公钥和证书链导入证书文件中。3.2证书格式CFCA全球服务器证书可以应用于各种Web服务，支持多种格式的证书文件。Web应用服务及其所需要的证书格式如下：Tomcat、Weblogic、JBoss等，使用JavaKeystore（JKS）格式的证书文件；中国金融认证中心CFCA全球服务器证书技术手册3Apache、Nginx等，使用KEY、CRT格式的证书文件；IBMWebsphere、IBMHttpServer等，使用KDB格式的证书文件；IIS等，使用PFX（P12）格式的证书文件；网关及其他设备，往往需要从设备上生成证书请求（CSR），并将CFCA签发的证书公钥和证书链装回设备中；部分设备支持KEY、CRT格式、或者PFX（P12）格式的证书文件。3.3使用Keytool工具制作证书Keytool是JDK中自带的密钥管理工具，可以制作Keystore（jks）格式的证书文件。下载并安装JDK后，可以通过相关命令制作服务器证书。以下地址可以下载JDK：以下以Windows平台为例，介绍制作证书的方法。1、进入Keytool目录；cdC:\ProgramFiles\java\jdk1.6.0_39\bin2、生成证书文件Keystore，文件后缀名可以是jks、keystore；keytool-genkey-keyalgRSA-keysize2048-keystoreD:\server.jks其中，keyalg是密钥类型，必须为RSA；keysize是密钥长度，必须是2048，keystore是证书文件保存的路径。而后，输入证书文件的密码：输入keystore密码：再次输入新密码：而后，输入名称（CN），即域名或者公网IP；您的名字与姓氏是什么？[Unknown]：而后，输入组织单位（OU），可以输入CFCA全球服务器证书的标识，SSL；您的组织单位名称是什么？[Unknown]：SSL而后，输入组织（O），即单位名称全称；中国金融认证中心CFCA全球服务器证书技术手册4您的组织名称是什么？[Unknown]：ChinaFinancialCertificationAuthority而后，输入城市（L）；您所在的城市或区域名称是什么？[Unknown]：Beijing而后，输入省份（ST）；您所在的州或省份名称是什么？[Unknown]：Beijing而后，输入国家（C），必须输入CN；该单位的两字母国家代码是什么？[Unknown]：CN输入完成后，确认输入内容是否正确；CN==SSL,O=ChinaFinancialCertificationAuthority,L=Beijing,ST=Beijing,C=CN正确吗？[否]：Y而后，提示输入密钥（Key）密码，可以与证书（Keystore）密码一致；输入mykey的主密码（如果和keystore密码相同，按回车）：确认后，即在keystore保存的路径下，生成证书文件（server.jks）。3、通过证书文件，生成证书请求；keytool-certreq-keystored:\server.jks-filed:\certreq.csr其中，keystore是证书文件的路径，file是产生证书请求（CSR）的路径。而后，提示输入keystore的密码；输入keystore密码：确认后，即产生证书请求（CSR）文件（certreq.csr）。4、证书订户将证书请求文件（certreq.csr）连同相关材料（详见第二章）提供给CFCA，并妥善保管证书文件（server.jks）。5、CFCA审核订户资料后，将公钥证书和证书链反馈给订户。6、证书订户将收到的公钥证书和证书链装回到证书文件（server.jks）中。中国金融认证中心CFCA全球服务器证书技术手册5其中，CFCA_GT_CA.cer是根证书，CFCA_OCA2.cer是中级证书，服务器证书公钥以证书订户名称命名。三张证书依次导入到证书文件（server.jks）中。7、导入根证书（CFCA_GT_CA.cer）；keytool-import-aliascfcagtca-keystored:\server.jks-trustcacerts-filed:\CFCA_GT_CA.cer而后，输入证书文件密码；输入keystore密码：而后，会显示根证书的属性；所有者:CN=CFCAGTCA,O=ChinaFinancialCertificationAuthority,C=CN签发人:CN=CFCAGTCA,O=ChinaFinancialCertificationAuthority,C=CN序列号:1eab9fa3有效期:TueAug2115:28:33CST2012至ThuAug2115:28:33CST2042证书指纹:MD5:CC:C2:C0:9A:46:48:1B:76:D1:AB:50:55:3C:A3:42:70SHA1:A8:F2:DF:E3:6A:E0:CC:2D:B9:DD:38:34:7D:30:AE:D9:55:1D:D2:5A签名算法名称:SHA256withRSA版本:3……而后，确认信任认证，导入完成。信任这个认证？[否]：Y认证已添加至keystore中8、导入中级证书（CFCA_OCA2.cer）；keytool-import-aliascfcaoca2-keystored:\server.jks-trustcacerts-filed:\CFCA_OCA2.cer而后，输入证书文件密码；输入keystore密码：导入完成。认证已添加至keystore中9、导入服务器证书公钥；keytool-import-aliasmykey-keystored:\server.jks-trustcacerts-filed:\中国金融认证中心.cer其中，别名（alias）必须是生成证书文件时设置的别名，默认是mykey；中国金融认证