按照实际业务需要产生 RSA/SM2/ECC 的证书申请文件并签发证书,测试阶段可以采用自签发证书,正式运行阶段建议从运营 CA 签发合格的服务器证书,也可以对接腾讯云证书服务产品去签发证书。
签发 RSA 算法的服务端证书(单证)
步骤1:产生证书申请文件
方式1:通过 EVSM 的管理工具产生
1. 登录 VsmManager 软件,单击密钥管理 > 非对称密钥管理 > 生成新密钥,弹出产生非对称密钥弹窗。
2. 在产生非对称密钥弹窗中,配置相关参数,单击产生,即可生成所需密钥。
参数说明:
算法标识:RSA。
密钥模长:2048。
幂指数 e:65537。
其他参数:按照实际需求填写。
3. 在非对称密钥管理弹窗中,单击生成 ECC 请求,配置相关参数单击确定。
参数说明:
算法标识:SHA256WITHRSA。
主题标识:/ 。
主题:/C=CN/ST=BJ/L=HaiDian/O=Beijing JNTA Technology LTD./OU=BSRC of TASS/CN=rsa_commoname。
使用内部索引:15。
方式2:通过 tassl 配套脚本产生
1. 进入
/root/tasshsm_engine/cert/server/rsa 目录。2. 设置环境变量,输入如下代码。
source ./setting
3. 产生证书申请文件 S_RSA_HSM.csr,按照如下代码所示,输入相关参数。
[root@localhost rsa]# ./gen_rsa_csr_with_hsm -r S_RSA_HSM.csr请输入DN:/C=CN/ST=BJ/L=HaiDian/O=BeijingJNTA Technology LTD./OU=BSRC of TASS/CN=rsa_commoname/请输入密钥模长[1024 - 2048]:2048请选择摘要算法:1)SHA12)SHA2243)SHA2564)SHA3845)SHA512请输入:3请输入加密机存储私钥的索引号:15
步骤2:签发证书
测试阶段自签发证书:通过 tassl 配套脚本产生,具体如下:
1. 进入
/root/tasshsm_engine/cert/server/rsa 目录。2. 设置环境变量,输入如下代码。
source ./setting
3. 签发 S_RSA_HSM.crt,输入如下代码。
./sign_cert.sh S_RSA_HSM.csr S_RSA_HSM.crt
生成国密 SM2 算法的服务端证书(双证)
步骤1:产生证书申请文件
方式1:通过 EVSM 的管理工具产生
1. 登录 VsmManager 软件,单击密钥管理 > 非对称密钥管理 > 生成新密钥,弹出产生非对称密钥弹窗。
2. 在产生非对称密钥弹窗中,配置相关参数,单击产生,即可生成所需密钥。
参数说明:
算法标识:SM2。
密钥模长:1024。
幂指数 e:65537。
密钥索引号[1-64]:15。
其他参数:按照实际需求填写。
3. 在非对称密钥管理弹窗中,单击生成 ECC 请求,配置相关参数单击确定。
参数说明:
算法标识:SHA256WITHRSA。
主题标识:/ 。
主题:/C=CN/ST=BJ/L=HaiDian/O=Beijing JNTA Technology LTD./OU=BSRC of TASS/CN=rsa_commoname。
使用内部索引:15。
方式2:通过 tassl 配套脚本产生
1. 进入
/root/tasshsm_engine/cert/server/sm2 目录。2. 设置环境变量,输入如下代码。
source ./setting
3. 产生签名证书申请文件 SS_SM2_HSM.csr,按照如下代码所示,输入相关参数。
[root@localhost rsa]# ./gen_sm2_csr_with_hsm -r SS_SM2_HSM.csr请输入DN:/C=CN/ST=BJ/L=HaiDian/O=BeijingJNTA Technology LTD./OU=BSRC of TASS/CN=sm2_commoname/请输入加密机存储私钥的索引号:15
4. 产生加密证书申请文件 SE_SM2_HSM.csr,按照如下代码所示,输入相关参数。
[root@localhost rsa]# ./gen_sm2_csr_with_hsm -r SE_SM2_HSM.csr请输入DN:/C=CN/ST=BJ/L=HaiDian/O=BeijingJNTA Technology LTD./OU=BSRC of TASS/CN=sm2_commoname/请输入加密机存储私钥的索引号:16
步骤2:签发证书
测试阶段自签发证书:通过 tassl 配套脚本产生,具体如下:
1. 进入
/root/tasshsm_engine/cert/server/sm2 目录。2. 设置环境变量,输入如下代码。
source ./setting
3. 签发签名证书 SS_SM2_HSM.crt,输入如下代码。
./sign_cert_s.sh SS_SM2_HSM.csr SS_SM2_HSM.crt
4. 签发加密证书 SE_SM2_HSM.crt,输入如下代码。
./sign_cert_e.sh SE_SM2_HSM.csr SE_SM2_HSM.crt
生成 ECC 算法的服务端证书
步骤1:产生证书申请文件
方式1:通过 EVSM 的管理工具产生
1. 登录 VsmManager 软件,单击密钥管理 > 非对称密钥管理 > 生成新密钥,弹出产生非对称密钥弹窗。
2. 在产生非对称密钥弹窗中,配置相关参数,单击产生,即可生成所需密钥。
参数说明:
算法标识:NID_NISTP256。
密钥模长:1024。
幂指数 e:65537。
密钥索引号[1-64]:17。
其他参数:按照实际需求填写。
3. 在非对称密钥管理弹窗中,选中产生的 ECC 曲线密钥,单击生成 ECC 请求,配置相关参数单击确定,即可产生 p10请求。
算法标识:SHA256WITHRSA。
主题标识:/ 。
主题:/C=CN/ST=BJ/L=HaiDian/O=Beijing JNTA Technology LTD./OU=BSRC of TASS/CN=rsa_commoname。
使用内部索引:15。
方式2:通过 tassl 配套脚本产生
1. 进入
/root/tasshsm_engine/cert/server/ecc 目录。2. 设置环境变量,输入如下代码。
source ./setting
3. 产生证书申请文件 test_ecc.csr,按照如下代码所示,输入相关参数。
[root@localhost rsa]# ./gen_ecc_csr_with_hsm -r test_ecc.csr请输入DN:/C=CNST=BJ/L=HaiDian/O=BeijingJNTA Technology LTD./OU=BSRC of TASS/CN=ecc_commoname/请选择摘要算法:1)SHA12)SHA2243)SHA2564)SHA3845)SHA512请输入:3请输入加密卡存储私钥的索引号(0代表不保存,并且输出加密私钥):17
步骤2:签发证书
测试阶段自签发证书:通过 tassl 配套脚本产生,具体如下:
1.进入
/root/tasshsm_engine/cert/server/ecc 目录。
2.设置环境变量,输入如下代码。source ./setting
3.签发 test_ecc.crt,输入如下代码。
./sign_cert.sh test_ecc.csr test_ecc.crt