全球信任证书技术手册
CFCA全球信任证书
(SSL证书)
中国金融认证中心技术支持部2015年12月
中国金融认证中心
文档修订记录
CFCA全球信任证书技术手册
版本1.02.02.12.22.32.42.53.03.13.24.0
内容第一版增加证书格式转换增加应用服务证书配置修改部分应用服务证书配置修改证书DN生成规则增加SSLv3禁用方式增加Nginx双向SSL配置完善证书介绍完善证书介绍完善证书介绍完善证书介绍、办理流程等
日期2013.3.72013.12.22014.1.92014.1.202014.4.162014.11.62015.4.132015.5.182015.7.72015.7.132015.12.3
编写张诚张诚张诚张诚张诚张诚张诚张诚张诚张诚张诚
审核
中国金融认证中心
CFCA全球信任证书技术手册
目录
一、CFCA全球信任SSL证书介绍............................11.1什么是SSL证书?..................................11.2什么是CFCA全球信任SSL证书?.....................11.3CFCA全球信任SSL证书有哪些优势?.................21.4CFCA全球信任SSL证书有哪些产品?.................21.4.1CFCAEVSSL证书.............................31.4.2CFCAEV多域名SSL证书.......................31.4.3CFCAOVSSL证书.............................41.4.4CFCAOV多域名SSL证书.......................51.4.5CFCAOV通配符SSL证书.......................6
二、CFCA全球信任SSL证书办理............................72.1机构申请.........................................72.2CFCA审核.........................................72.3证书签发.........................................82.4证书更新、延期、吊销..............................8
三、CFCA全球信任SSL证书制作............................83.1证书制作说明.....................................83.2密钥和证书请求文件CSR............................93.3证书文件格式.....................................9 中国金融认证中心 CFCA全球信任证书技术手册 3.4证书制作........................................10 3.4.1使用Keytool工具制作证书....................10 3.4.2使用OpenSSL工具制作证书....................13 3.4.3使用iKeyman工具制作证书....................15 3.5证书格式转换....................................20 3.5.1JKS转换为PFX...............................21 3.5.2PFX转换为JKS...............................21 3.5.3KEY&CRT转换为PFX...........................21 3.5.4PFX转换为KEY&CRT...........................21 3.5.5KDB转换为PFX...............................21 3.5.6PFX转换为KDB...............................22 3.6证书部署........................................27 3.6.1Apache证书配置.............................27 3.6.2Tomcat证书配置.............................28 3.6.3Nginx证书配置..............................29 3.6.4Weblogic证书配置...........................31 3.6.5IBMHttpServer证书配置....................34 3.6.6JBoss证书配置..............................35 3.6.7IIS证书配置................................35 附录
一、CFCAEV证书申请表..............................42 附录
二、CFCAOV证书申请表..............................45 附录
三、CFCA全球信任根证书获取方式.....................47 中国金融认证中心 CFCA全球信任证书技术手册 附录
四、CFCA全球信任证书链.............................48 附录
五、SHA摘要算法介绍................................53 附录
六、常见问题.......................................54 中国金融认证中心 CFCA全球信任证书技术手册
一、CFCA全球信任SSL证书介绍 1.1什么是SSL证书? 随着信息技术的发展,互联网站以及基于互联网的应用系统面临越来越严重的安全威胁。
其中,网站面临的两个最基本的问题是:
1、网站身份的真实性用户访问网站时需要确认网站的真实性。
由于互联网的开放和共享,互联网上存在很多虚假的网站。
如何让用户信任自己访问的网站是真实的?
2、信息传输的保密性大量的网上应用需要用户向网站应用系统提交一些隐私或者机密信息,同时网站应用系统也可能向用户返回一些隐私或者机密信息。
如何确保信息传输过程中的安全?SSL证书,是由权威的、可信的第三方数字证书认证机构(CA)签发的,用来标记网站身份的数字证书。
因其通常部署在网站服务器上,也称为网站证书或者服务器证书。
SSL证书通过在客户端浏览器和网站服务器之间建立一条SSL安全通道(SecureSocketLayer),对传输的数据进行加密,确保数据在传输过程中不被窃听、篡改和伪造。
有效地解决了网站身份的真实性和信息传输的保密性问题。
1.2什么是CFCA全球信任SSL证书? 中国金融认证中心(ChinaFinancialCertificationAuthority,简称CFCA)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是国家重要的金融信息安全基础设施之
一。
在《中华人民共和国电子签名法》颁布后,CFCA成为首批获得电子认证服务许可的电子认证服务机构。
中国金融认证中心全球信任证书(GlobalTrustCertificate)是发放给全球范围的数字证书,通过微软根证书项目认证、谷歌Andriod项目认证、Mozilla根证书认证,其根证书已经预埋在微软所有系统、设备,谷歌的Andriod系统、以及
1 中国金融认证中心 CFCA全球信任证书技术手册 Mozilla所有产品中。
CFCA全球服务器证书(SSL证书)由CFCA自主研发。
CFCA作为国内第一家 与国外SSL服务器证书厂商媲美的电子认证服务机构,严格按照国际标准提供电 子认证服务,并结合我国国情,在密码算法、安全技术服务等方面兼容国际和国 产算法。
目前已通过第三方审计公司按照国内、国际双重标准进行的审计。
CFCA全球服务器证书(SSL证书)相当于Web站点的网络身份证,可为Web 站点提供身份鉴定,并为Web站点提供高强度安全加密传输,保证信息在传输 过程中的安全,能够有效地防止信息传输过程中的网络钓鱼、窃听、篡改等安全 问题。
1.3CFCA全球信任SSL证书有哪些优势? CFCA全球信任SSL证书的优势:由中国权威数字证书认证机构CFCA签发;CFCA是国际CA浏览器联盟组织(CA/BrowserForum)成员,是国际证 书标准的参与者;CFCA通过国际WebTrust认证,遵循全球统一鉴证标准;根系统、吊销列表、证书管理、鉴证资料、服务支持本地化;金融级的安全保障服务;完善的风险承保计划,确保理赔的可行性和便捷性;中文版CPS(全球信任体系电子认证业务规则)便于用户理解双方权利 和义务。
1.4CFCA全球信任SSL证书有哪些产品? CFCA全球信任SSL证书包括:CFCAEVSSL证书CFCAEV多域名SSL证书CFCAOVSSL证书CFCAOV多域名SSL证书CFCAOV通配符SSL证书
2 中国金融认证中心 CFCA全球信任证书技术手册 1.4.1CFCAEVSSL证书 CFCAEVSSL服务器证书相当于网站的身份证,可为网站提供身份鉴定和高强度安全加密服务。
CFCAEVSSL证书遵循全球统一认证标准中最严格的WebtrustEV标准。
部署CFCAEVSSL证书的网站,浏览器地址栏自动变成绿色,循环显示公司名称(支持中文)和CFCA认证机构标识。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至2年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度等国产浏览器;WindowsPhone平台浏览器100%支持;Andriod(Android6.0Marshmallow)平台浏览器100%支持;Linux平台浏览器100%支持;MacOS平台支持MozillaFirefox浏览器;支持128位至256位加密强度;最高人民币50万元赔付保障。
1.4.2CFCAEV多域名SSL证书
3 中国金融认证中心 CFCA全球信任证书技术手册 CFCAEV多域名SSL证书,将有限多个域名写入一个证书文件中,可以同时 保护多个域名的EVSSL证书。
部署CFCAEV多域名SSL证书的多个网站,浏览器 地址栏自动变成绿色,循环显示公司名称(支持中文)和CFCA认证机构标识。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer), 有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至2年; 2至5个工作日快速签发; 有效期内免费重新签发; 证书到期前自动提醒; 提供安全站点签章; 支持RSA算法,2048位密钥强度,SHA256摘要算法; Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Linux平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.3CFCAOVSSL证书 CFCAOVSSL服务器证书相当于网站的身份证,可为网站提供身份鉴定和高强度安全加密服务。
部署CFCA标准SSL证书的网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;
4 中国金融认证中心 CFCA全球信任证书技术手册 2至5个工作日快速签发; 有效期内免费重新签发; 证书到期前自动提醒; 提供安全站点签章; 支持RSA算法,2048位密钥强度,SHA256摘要算法; Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Linux平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.4CFCAOV多域名SSL证书 CFCAOV多域名SSL证书,将有限多个域名写入一个证书文件中,可以同时保护多个域名的SSL证书。
部署CFCA标准多域名SSL证书的多个网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎
5 中国金融认证中心 CFCA全球信任证书技术手册 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; Linux平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.5CFCAOV通配符SSL证书 CFCAOV通配符SSL证书适用于网站主域名()以及子域名(*),不限制子域名数量。
部署CFCA标准通配符SSL证书的多个网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度等国产浏览器;WindowsPhone平台浏览器100%支持;Andriod(Android6.0Marshmallow)平台浏览器100%支持;Linux平台浏览器100%支持;MacOS平台支持MozillaFirefox浏览器;支持128位至256位加密强度;最高人民币50万元赔付保障。
6 中国金融认证中心 CFCA全球信任证书技术手册
二、CFCA全球信任SSL证书办理 CFCA全球信任SSL证书办理过程,申请机构必须提供真实的材料,以证明机构的真实身份、申请人的真实身份、机构对网站域名的所有权等。
CFCA将对机构提供的材料进行严格审查。
2.1机构申请 申请机构需要向CFCA提供如下材料:
1、证书申请表(详见附录
一、附录二);
2、至少一种机构身份证件(如,企业营业执照副本复印件);
3、申请人的个人身份证件(如,申请人身份证复印件);
4、机构授予申请人的授权证明;
5、域名或者公网IP的证明(内网IP不能申请);
6、证书请求文件CSR(什么是CSR?请参考3.3章节)。
以上材料除第6项外,均需加盖公章。
所盖公章为机构公章,不可使用部门章、业务章等,并且公章的名称要与机构名称一致。
申请机构需要将上述所有材料提供给CFCA商务经理,申请机构必须保证所提供材料的真实性,CFCA商务经理将协助机构办理证书。
2.2CFCA审核 CFCA业务部门将对申请机构提供的材料进行审查,主要内容包括:
1、检查证书申请表中机构信息与提供的机构身份证件是否相符。
2、检查证书申请表中申请人信息与提供的申请人身份证件是否相符,与机构授予申请人的授权证明是否一致。
3、检查证书申请表中域名与提供的域名证明是否相符。
如检查域名非申请机构所有,则需要申请机构提供该域名所有者出具的唯一使用该域名的授权证明
7 中国金融认证中心 CFCA全球信任证书技术手册 材料。
如使用公网IP,需提供网络运营商出具的IP授权使用证明。
4、CSR文件,DN规则要求符合如下规范:
(1)DN中各项顺序依次为:CN、OU、
O、L、ST、C;
(2)CN项必须是域名,与证书申请表中域名一致;
(3)O项必须是真实的、完整的机构名称,与证书申请表中机构名称一致;
(4)L项、ST项、C项是必须是机构所在地区,与机构身份证件中的注册 地区一致。
2.3证书签发 CFCA审核通过后,将由CFCA证书管理员签发证书。
证书公钥及证书链将发送到证书申请表中的申请人电子邮件地址。
2.4证书更新、延期、吊销 机构使用证书过程中,如果出现证书遗失、损坏、密钥泄露等问题,需要重新签发证书的,机构应按照2.1章节重新提供材料办理证书更新。
证书有效期内CFCA免费进行证书更新。
证书到期前三个月内,CFCA商务经理会主动提醒机构申请人办理证书延期。
机构应按照2.1章节重新提供材料办理证书延期。
机构如果不再使用证书,可以联系CFCA商务经理办理证书吊销,并将该证书从网站服务器上移除。
三、CFCA全球信任SSL证书制作 3.1证书制作说明 CFCA全球信任SSL证书需要部署在网站Web服务上,制作证书之前请先了解网站Web服务所使用的软件或者硬件。
1、如果网站使用网关、负载均衡等硬件设备提供Web服务,请咨询相应的硬件厂商制作和部署SSL证书的方法。
8 中国金融认证中心 CFCA全球信任证书技术手册
2、如果网站使用IBMHttpServer(IHS)、InformationServices(IIS)、 OracleWeblogic等商业软件提供Web服务,请优先咨询软件厂商制作和部署SSL 证书的方法。
本章节也提供了部分商业软件制作SSL证书方法,仅供参考。
3、如果网站使用Nginx、Apache、Tomcat等开源软件,请优先通过开源软 件的技术文档了解制作和部署SSL证书的方法。
本章节也提供了部分开源软件制 作SSL证书方法,仅供参考。
3.2密钥和证书请求文件CSR SSL证书中含有一套非对称密钥,用于客户端浏览器和网站服务器之间的数据加密。
证书申请机构应当在安全的服务器或者设备上生成密钥和证书请求文件CSR(CerificateSigningRequest)。
其中,CSR提交给CFCA用于签发证书(详见2.1章节),密钥由证书申请机构保管。
特别注意,任何机构或者个人如果拥有该密钥,即可通过技术手段解密客户端浏览器和网站服务器之间的加密数据,给网站和网站用户造成极大的安全威胁。
因此,证书申请机构务必妥善保管密钥!一旦密钥泄露,请证书申请机构重新生成密钥和CSR,并立即联系CFCA进行证书更新(参考2.4章节)。
CFCA将使用新提供的CSR签发证书,并将已泄露密钥的证书吊销。
此外,证书申请机构只需将CSR提交给CFCA,CFCA使用CSR签发证书。
即CFCA并不拥有证书申请机构的密钥,也无法解密客户端浏览器和网站服务器之间的加密数据。
3.3证书文件格式 一般来说,主流的Web服务软件,通常都基于两种基础密码库:OpenSSL和Java。
Tomcat、Weblogic、JBoss等,使用Java提供的密码库。
通过Java的Keytool工具,生成JavaKeystore(JKS)格式的证书文件。
Apache、Nginx等,使用OpenSSL提供的密码库,生成PEM、KEY、CRT等格式的证书文件。
此外,IBM的产品,如Websphere、IBMHttpServer(IHS)等,使用IBM产
9 中国金融认证中心 CFCA全球信任证书技术手册 品自带的iKeyman工具,生成KDB格式的证书文件。
微软WindowsServer中的 InformationServices(IIS),使用Windows自带的证书库生成PFX格式 的证书文件。
3.4章节提供了部分主流的Web服务软件生成密钥、CSR、证书文件的方法, 3.5章节提供了常用证书文件格式相互转换的方法,仅供参考。
3.4证书制作 3.4.1使用Keytool工具制作证书 Keytool是JDK中自带的密钥管理工具,可以制作Keystore(jks)格式的证书文件。
下载并安装JDK后,可以通过相关命令制作服务器证书。
以下地址可以下载JDK:以下以Windows平台为例,介绍制作证书的方法。
1、进入Keytool目录; cdC:\ProgramFiles\java\jdk1.6.0_39\bin
2、生成证书文件Keystore,文件后缀名可以是jks、keystore,证书文件中包含密钥;keytool-genkey-aliasserver-keyalgRSA-keysize2048-keystoreD:\server.jks 其中,keyalg是密钥类型,必须为RSA;keysize是密钥长度,必须是2048,alias是证书别名,可自定义;keystore是证书文件保存的路径。
而后,输入证书文件的密码: 输入keystore密码:再次输入新密码: 而后,输入名称(CN),即证书申请表中的域名; 您的名字与姓氏是什么?[Unknown]: 而后,输入组织单位(OU),即证书申请表中申请人的部门名称; 您的组织单位名称是什么? 10 中国金融认证中心[Unknown]:技术支持部 CFCA全球信任证书技术手册 而后,输入组织(O),即机构身份证件中机构名称全称; 您的组织名称是什么? [Unknown]:中金金融认证中心有限公司 而后,输入城市(L),即机构身份证件中机构所在市级地区; 您所在的城市或区域名称是什么? [Unknown]:北京 而后,输入省份(ST),即机构身份证件中机构所在省级地区; 您所在的州或省份名称是什么? [Unknown]:北京 而后,输入机构身份证件中机构所在的国家或者行政区(C),限定两位字母,如中国输入CN,美国输入US等; 该单位的两字母国家代码是什么? [Unknown]:CN 输入完成后,确认输入内容是否正确; CN=,OU=技术支持部,O=中金金融认证中心有限公司,L=北京,ST=北京, C=CN正确吗? [否]:
Y 而后,提示输入密钥(Key)密码,可以与证书(Keystore)密码一致; 输入的主密码
(如果和keystore密码相同,按回车):
确认后,即在keystore保存的路径下,生成证书文件(server.jks)。
3、通过证书文件,生成证书请求; keytool-certreq-sigalgSHA256withRSA-aliasserver-keystored:\server.jks-filed:\certreq.csr 其中,sigalg是摘要算法,推荐SHA256withRSA;alias是别名,必须与第2步生成证书文件时定义的别名一致;keystore是证书文件的路径,file是产生证书请求(CSR)的路径。
而后,提示输入keystore的密码; 输入keystore密码: 11 中国金融认证中心 CFCA全球信任证书技术手册 确认后,即产生证书请求(CSR)文件(certreq.csr)。
4、证书申请机构将证书请求文件(certreq.csr)连同相关材料(详见2.1) 提供给CFCA,并妥善保管证书文件(server.jks)。
5、CFCA审核资料后,将公钥证书和证书链反馈给证书申请机构。
6、证书申请机构将收到的公钥证书和证书链(包括根证书和中级证书)装 回到证书文件(server.jks)中。
其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer(详见附录四)。
7、导入根证书(以EV证书为例,OV证书请导入OV的根证书,下同); keytool-import-aliasevca-keystored:\server.jks-trustcacerts-filed:\CFCA_EV_CA.cer 而后,输入证书文件密码; 输入keystore密码: 而后,会显示根证书的属性; 所有者:CN=CFCAEVROOT,O=ChinaFinancialCertificationAuthority,C=CN 发布者:CN=CFCAEVROOT,O=ChinaFinancialCertificationAuthority,C=CN 序列号:d6 有效期开始日期:WedAug0811:07:01CST2012,截止日期:MonDec3111:07:01CST2029 证书指纹: MD5:74:E1:B6:ED:26:7A:7A:44:30:33:94:AB:7B:27:81:30 SHA1:E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83 SHA256: 5C:C3:D7:8E:4E:1D:5E:45:54:7A:04:E6:87:3E:64:F9:0C:F9:53:6D:1C:CC:2E:F8:00:F3:55:C4:C5:FD:
7 0:FD 签名算法名称:SHA256withRSA …… 而后,确认信任认证,导入完成。
信任这个认证?[否]:
Y 12 中国金融认证中心 CFCA全球信任证书技术手册 认证已添加至keystore中
8、导入中级证书; keytool-import-aliasevoca-keystored:\server.jks-trustcacerts-filed:\CFCA_EV_OCA.cer 而后,输入证书文件密码; 输入keystore密码: 导入完成。
认证已添加至keystore中
9、导入服务器证书(证书文件一般以申请单位的全称命名); keytool-import–aliasserver-keystored:\server.jks-trustcacerts-filed:\中金金融认证中心有限 公司.cer 其中,别名(alias)必须是生成证书文件时设置的别名,必须与第2步生成证书文件时定义的别名一致; 而后,输入证书文件密码; 输入keystore密码: 导入完成。
认证已添加至keystore中 完成上述操作后,生成完整的证书文件(server.jks),可以部署在Tomcat、Weblogic等Web应用中。
3.4.2使用OpenSSL工具制作证书 使用OpenSSL工具可以制作KEY和CRT格式的证书文件,OpenSSL工具可以从以下地址下载: /以下以Windows平台为例,介绍制作证书的方法。
1、进入OpenSSL目录;cdD:\OpenSSL\bin2、生成证书文件key和证书请求文件csr;opensslreq-new-newkeyrsa:2048-nodes-keyoutserver.key-outserver.csr其中,newkey必须是rsa:2048,key为密钥文件,csr为证书请求文件,默 13 中国金融认证中心 认都在OpenSSL目录下; CFCA全球信任证书技术手册 Generatinga2048bitRSAprivatekey .....................................................................+++ ..........................+++ writingnewprivatekeyto'server.key' ----- Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest. WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN. Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter'.',thefieldwillbeleftblank. ----- 而后,输入机构身份证件中机构所在的国家或者行政区(C),限定两位字母,如中国输入CN,美国输入US等; CountryName(2lettercode)[AU]:CN 而后,输入省份(ST),即机构身份证件中机构所在省级地区; StateorProvinceName(fullname)[Some-State]:Beijing 而后,输入城市(L),即机构身份证件中机构所在市级地区; LocalityName(eg,city)[]:Beijing 而后,输入组织(O),即机构身份证件中机构名称全称; OrganizationName(eg,pany)[WidgitsPtyLtd]:ChinaFinancial CertificationAuthority 而后,输入组织单位(OU),即证书申请表中申请人的部门名称; OrganizationalUnitName(eg,section)[]:TechnologyDepartment 而后,输入名称(CN),即证书申请表中的域名; CommonName(e.g.serverFQDNorYOURname)[]: 而后,以下几项均可不填写; EmailAddress[]: 14 中国金融认证中心 CFCA全球信任证书技术手册 Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]: Anpanyname[]: Pleaseenterthefollowing'extra'attributes 而后,将在OpenSSL目录下,产生证书文件key和证书请求文件csr。
3、证书申请机构将证书请求文件(server.csr)连同相关材料(详见2.1章 节)提供给CFCA,并妥善保管密钥文件(server.key)。
4、CFCA审核订户资料后,将公钥证书和证书链反馈给订户。
其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer。
5、将服务器证书公钥另存为server.crt。
完成上述操作后,server.key为密钥文件、server.crt为服务器证书文件,和 证书链文件一起,可以部署在Apache、Nginx等Web应用中。
3.4.3使用iKeyman工具制作证书 IBMHTTPServer含有iKeyman,可以制作证书。
1、执行IHS7安装目录下,“bin”目录下的“ikeyman”命令,进入iKeyman界面。
15 中国金融认证中心 CFCA全球信任证书技术手册
2、选择“密钥数据库文件——新建”,弹出以下对话框。
3、在密钥数据库类型中选择“CMS”。
点击“浏览”选择密钥数据库文件所在路径,默认情况下应该在执行ikeyman的bin目录下。
点击确定进入如下界面:
4、输入密钥数据库的密码,选择“将密码存储到文件中”点击“确定”进 16 中国金融认证中心 CFCA全球信任证书技术手册 入如下界面,同时生成密码存储文件“key.sth”。
该密码存储文件必须和密码数 据库文件放在同一目录下。
5、切换到“个人证书请求”,选择界面上方的“创建——新建证书请求”进入如下界面。
其中: 密钥大小必须为2048;公用名(CN),即证书申请表中的域名;组织(O),即机构身份证件中机构名称全称;组织单元(OU),即证书申请表中申请人的部门名称;市、县、区(L),即机构身份证件中机构所在市级地区;省、直辖市(ST),即机构身份证件中机构所在省级地区;国家或地区(C),输入机构身份证件中机构所在的国家或者行政区,限定两位字母,如中国输入CN,美国输入US等。
6、点击确定后,即在该路径下生成证书请求文件certreq.arm。
证书申请机构将证书请求文件提供给CFCA,并妥善保管证书文件(key.kdb)和证书密码文件(key.sth)。
7、CFCA审核订户资料后,将公钥证书和证书链反馈给订户。
8、证书申请机构将收到的公钥证书和证书链装回到证书文件(key.kdb)中。
17 中国金融认证中心 CFCA全球信任证书技术手册 其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer。
9、选择“签署入证书”,进入如下界面。
10、选择“添加”,弹出选择证书对话框,选择根证书,点击确定,导入完成。
同样,将中级证书也导入到key.kdb中。
11、在密钥数据库中选择“个人证书”,进入下面的界面。
18 中国金融认证中心 CFCA全球信任证书技术手册 14、点击“接收”,弹出如下对话框。
15、选择服务器证书公钥文件,点击“确定”,导入完成。
19 中国金融认证中心 CFCA全球信任证书技术手册 3.5证书格式转换 Tomcat、Weblogic、JBoss等,使用JavaKeystore(JKS)格式的证书文件;Apache、Nginx等,使用KEY、CRT格式的证书文件;IBMWebsphere、IBMHttpServer等,使用KDB格式的证书文件;IIS等,使用PFX(P12)格式的证书文件;JKS、KEY&CRT、KDB、PFX等格式的证书文件可以相互转换。
如下图所示: 20 中国金融认证中心 CFCA全球信任证书技术手册 3.5.1JKS转换为PFX 可以使用Keytool工具,将JKS格式转换为PFX格式。
keytool-importkeystore-srckeystoreD:\server.jks-destkeystoreD:\server.pfx -srcstoretypeJKS-deststoretypePKCS12 3.5.2PFX转换为JKS 可以使用Keytool工具,将PFX格式转换为JKS格式。
keytool-importkeystore-srckeystoreD:\server.pfx-destkeystoreD:\server.jks-srcstoretypePKCS12-deststoretypeJKS 3.5.3KEY&CRT转换为PFX 使用OpenSSL工具,可以将密钥文件KEY和公钥文件CRT转化为PFX文件。
将密钥文件KEY和公钥文件CRT放到OpenSSL目录下,打开OpenSSL执行以下命令:opensslpkcs12-export-outserver.pfx-inkeyserver.key-inserver.crt 3.5.4PFX转换为KEY&CRT 使用OpenSSL工具,可以将PFX文件转化为密钥文件KEY和公钥文件CRT。
将PFX文件放到OpenSSL目录下,打开OpenSSL执行以下命令:opensslpkcs12-inserver.pfx-nodes-outserver.pemopensslrsa-inserver.pem-outserver.keyopensslx509-inserver.pem-outserver.crt 3.5.5KDB转换为PFX 使用iKeyman工具,可以将KDB文件转化为PFX文件。
打开KDB文件,点击“导出”按钮。
21 中国金融认证中心 CFCA全球信任证书技术手册 选择“导出密钥”,选择PKCS12格式。
设置PFX密码。
即可导出PFX文件。
3.5.6PFX转换为KDB 使用iKeyman工具,可以将PFX文件转化为KDB文件。
22 中国金融认证中心 打开iKeyman,新建一个KDB文件。
CFCA全球信任证书技术手册 输入密码,可将密码存储到文件中。
选择签署者证书,点击“添加”按钮。
23 中国金融认证中心 CFCA全球信任证书技术手册 依次将根证书CFCA_GT_CA.cer和中级证书CFCA_OCA2.cer导入。
选择个人证书,点击“导入”按钮。
选择PKCS12类型,选择PFX文件。
24 中国金融认证中心 输入PFX密码。
输入标签名称。
CFCA全球信任证书技术手册 导入成功后,查看个人证书。
25 中国金融认证中心 CFCA全球信任证书技术手册 证书信息中,勾选“将此证书设置为缺省证书”。
26 中国金融认证中心 而后保存KDB文件即可。
CFCA全球信任证书技术手册 3.6证书部署 证书部署方式,请优先咨询提供Web应用软件的软件或者硬件厂商,本章节也提供了部分Web应用软件部署证书的方式,仅供参考。
3.6.1Apache证书配置 Apache使用KEY和CRT格式的证书,证书制作方式请参考“3.4使用OpenSSL工具制作证书”。
将中级证书和根证书打开,依次将其代码复制到文本文件中(包括“-----BEGINCERTIFICATE-----”和“-----ENDCERTIFICATE-----”),并保存成cfca.crt。
如下: -----BEGINCERTIFICATE----中级证书编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----根证书编码-----ENDCERTIFICATE----- 将服务器证书文件server.key和server.crt,以及证书链文件cfca.crt,配置在Apache中。
用文本编辑器打开Apache根目录下的conf/httpd.conf文件,去掉下述两行的注释符号#。
#LoadModulessl_modulemodules/mod_ssl.so#Includeconf/extra/httpd-ssl.conf用文本编辑器打开Apache根目录下的conf/extra/httpd-ssl.conf文件,修改以下内容: 27 中国金融认证中心 CFCA全球信任证书技术手册DocumentRoot"/var/www/html"ServerNameSSLEngineonSSLProtocolall-SSLv2-SSLv3SSLCertificateFileserver.crt路径SSLCertificateKeyFileserver.key路径SSLCertificateChainFilecfca.crt路径
其中:启用SSL功能:SSLEngineon禁用SSLv2、SSLv3协议:SSLProtocolall-SSLv2-SSLv3公钥文件:SSLCertificateFileserver.crt路径私钥文件:SSLCertificateKeyFileserver.key路径证书链文件:SSLCertificateChainFilecfca.crt路径上述设置完成过后,重新启动Apache。
3.6.2Tomcat证书配置 Tomcat使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
将服务器证书文件(server.jks),配置在Tomcat中。
文本编辑器打开Tomcat安装目录下conf目录中的server.xml文件,更新以下内容。
28 中国金融认证中心 CFCA全球信任证书技术手册
3.6.3Nginx证书配置 Nginx使用KEY和CRT格式的证书,证书制作方式请参考“3.4使用OpenSSL工具制作证书”。
将服务器证书、中级证书CFCA_OCA2.cer和根证书CFCA_GT_CA.cer打开,依次将其代码复制到文本文件中(包括“-----BEGINCERTIFICATE-----”和“-----ENDCERTIFICATE-----”),并保存成server.crt。
如下: 29 中国金融认证中心 -----BEGINCERTIFICATE----服务器证书编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----中级证书CFCA_OCA2.cer编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----根证书CFCA_GT_CA.cer编码-----ENDCERTIFICATE----- CFCA全球信任证书技术手册 将服务器证书文件server.key和server.crt,配置在Nginx中。
如果是单向SSL,用文本编辑器打开Nginx根目录下conf/nginx.conf文件,更新以下内容: server{listen443;server_name127.0.0.1;sslon;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_certificateserver.crt;ssl_certificate_keyserver.key;} 其中:启用SSL功能:sslon禁用SSLv2、SSLv3协议:ssl_protocolsTLSv1TLSv1.1TLSv1.2公钥文件:ssl_certificateserver.crt路径私钥文件:ssl_certificate_keyserver.key路径上述设置完成过后,重新启动Nginx。
如果是双向SSL,用文本编辑器打开Nginx根目录下conf/nginx.conf文件,更新以下内容: 30 中国金融认证中心 CFCA全球信任证书技术手册 server{listen443;server_name127.0.0.1;sslon;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_certificateserver.crt;ssl_certificate_keyserver.key;ssl_client_certificateca.crt;ssl_verify_clienton;ssl_verify_depth2;} 其中:启用SSL功能:sslon禁用SSLv2、SSLv3协议:ssl_protocolsTLSv1TLSv1.1TLSv1.2公钥文件:ssl_certificateserver.crt路径私钥文件:ssl_certificate_keyserver.key路径证书链文件:ssl_client_certificateca.crt路径启用双向SSL:ssl_verify_clienton证书链深度:ssl_verify_depth2如果客户端使用CFCA证书,则该项必须为2上述设置完成过后,重新启动Nginx。
3.6.4Weblogic证书配置 Weblogic使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
打开Weblogic控制台,进入“服务器”。
31 中国金融认证中心 CFCA全球信任证书技术手册 选择部署的服务器。
在“一般信息”中,“启用SSL监听端口”。
在“密钥库”页面,配置服务器证书(server.jks)。
其中: 32 中国金融认证中心 密钥库选择“定制标识和定制信任”;密钥库输入server.jks的路径和密码;信任密钥库输入server.jks的路径和密码;输入完成后,保存。
CFCA全球信任证书技术手册 在“SSL”页签,配置SSL选项。
其中:标识和信任设置,选择“密钥库”;私有密钥输入密钥别名和密码;输入完成后,保存。
33 中国金融认证中心 CFCA全球信任证书技术手册 配置完成后,激活Weblogic更改,重新启动Weblogic服务。
3.6.5IBMHttpServer证书配置 IBMHttpServer使用KDB格式的证书,证书制作方式请参考“3.5使用iKeyman工具制作证书”。
将制作好的kdb、rdb、sth文件放在同一个目录下,而后在httpd.conf文件中配置。
LoadModuleibm_ssl_modulemodules/mod_ibm_ssl.soListen443ServerName127.0.0.1SSLEnableSSLClientAuthrequiredKeyfile"key.kdb路径"SSLStashfile"key.sth路径"SSLDisable
其中,KeyFile所指定的为证书数据库路径,SSLStashfile为密码文件路径。
34 中国金融认证中心 配置完成后,重启启动IBMHTTPServer。
CFCA全球信任证书技术手册 3.6.6JBoss证书配置 JBoss使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
将服务器证书文件(server.jks),配置在JBoss中。
用文本编辑器打开Jboss安装目录下server/default/deploy/jbossweb.sar目录中的server.xml文件,更新以下内容。
3.6.7IIS证书配置 IIS可以直接使用PFX格式的证书文件,PFX证书制作方式请参考“3.6证书格式转换”。
在运行框中输入MMC,进入管理控制台。
35 中国金融认证中心 CFCA全球信任证书技术手册 添加删除管理单元。
添加证书。
36 中国金融认证中心 CFCA全球信任证书技术手册 选择计算机账户。
添加之后,确定。
37 中国金融认证中心 CFCA全球信任证书技术手册 在受信任的根证书颁发机构中,导入根证书CFCA_GT_CA.cer。
在中级证书颁发机构中,导入中级证书CFCA_OCA2.cer。
38 中国金融认证中心 CFCA全球信任证书技术手册 在个人证书中,导入PFX证书文件。
导入时,选择个人信息交换(PFX、P12)。
39 中国金融认证中心 CFCA全球信任证书技术手册 导入完成。
在IIS管理控制台,选择站点,点击“绑定”。
40 中国金融认证中心 CFCA全球信任证书技术手册 点击“添加”,选择“https”,选择SSL证书,点击确定。
重新启动IIS即可。
41 中国金融认证中心 CFCA全球信任证书技术手册 附录
一、CFCAEV证书申请表 CFCAEV证书申请表 申请日期 证书数量 证书期限□1年□2年 证书证书类型申 □单域名服务器证书□多域名服务器证书□代码签名证书 业务类型□新申请□更新□吊销 请站点认证 信息域名 □站点认证 □服务器证书 (申请服务器证书需填)(申请服务器证书需填) EV代码签名证书模式 □用户提供加密设备□CFCA提供加密设备(申请代码签名证书需填) 机构名称(中文)申请机构证件类型□企业营业执照□组织机构代码证□其它,请注明: 机证件颁发机构 构 信机构证件号码息 联系地址 联系电话邮政编码 姓名负 责电话 人负责人签名 职务电子邮件 姓名经 办人电话
一 经姓名办 人电话
二 人力资源负责人 姓名 职务电子邮件职务电子邮件电话 申请机构 本机构承诺以上信息资料真实、有效。
本机构已认真阅读并同意遵守中金金融认证中心有限公司(CFCA)网站()发布的《数字证书服务协议》、《全球 42 中国金融认证中心 CFCA全球信任证书技术手册 声明 信任体系电子认证业务规则(CPS))》中规定的相关义务。
申请机构盖章 日期 备注 ApplicationDate CertificateType ApplicationType SiteAuth(SSLCertificaterequired)DomainName(SSLCertificaterequired)EVCodeSigndeviceMode(EVCodeSignRequired) CFCAEVCertificateApplicationForm CertificateInformation Unit □EVSSLSingleDomain□EVSSLMultiDomain□EVCodeSign □NewApplication□Renewal Period□Revocation □SiteAuthAddition□OnlySSLcertificate □SubscriberprovideDevice□CFCAprovidedevice □1year□2years CompanyInformation LegalName AbbreviationName IdentityFileName□BusinessLicense□OrganizationcodeCertificate□others,pleasenote: RegistrationAuthorityRegistrationNumberIncorporatingAgency DateofIncorporation Telephone Fax 43 中国金融认证中心Address CFCA全球信任证书技术手册Postcode HigherAuthorityInformation Name Title Telephone E-mail No.1TechnicalcontactInformation Name Title Telephone E-mail No.2TechnicalcontactInformation Name Title Telephone E-mail HRInformation Name ApplicantStatement Telephone mitthattheaboveinformationistrueandeffective.Ihavereadandagreedtotherelatedobligationsofthe"DigitalCertificateServicesAgreement"and"CFCA’sCertificationPracticeStatement(CPS))"publishedonCFCAwebsite(). OrganizationSeal Date Remark 注:
1、申请机构须同时提供机构证件复印件、经办人身份证件复印件、机构授予经办人的授权书原件,以上需加盖公章。
同时需要提供律师函及律师证。
2、经办人需两人,且第一人应为部门领导,第二人可为普通员工,两者之间应有授权关系,订户申请中共需要以下角色:证书负责人,证书申请人,合同签署人,申请代表人(可选,仅适用于申请者是CFCA附属机构或关联方时)这几个角色,需由至少2人担任(可由经办人或者负责人担任),且至少有一人应为部门领导,一个人可以担任多个角色。
3、申请机构在正式申请前须与CFCA技术人员进行充分沟通,确认该证书能够满足本机构需求。
此申请表一经申请机构盖章确认后,就表明其申请的防欺诈全球服务器证书已满足本机构的需求。
44 中国金融认证中心 CFCA全球信任证书技术手册 附录
二、CFCAOV证书申请表 CFCAOV证书申请表 申请日期证书证书类型 证书数量 证书期限□1年□2年□3年 □单域名SSL□多域名SSL□通配符SSL□代码签名证书□时间戳证书 申业务类型 请 □新申请□更新 □吊销 信站点认证服务是否需要站点认证标识□是 □否 息 域名或IP地址(适用于申请SSL证书) (适用于申请SSL证书) 申机构名称 请机机构证件类型□企业营业执照□组织机构代码证□其它,请注明: 构机构证件号码 电话 信 息联系地址 邮政编码 负姓名责人电话 职务电子邮件 姓名经办证件类型人 证件号码 □身份证 □其它,请注明: 职务电话电子邮件 申请机构声明 本机构承诺以上信息资料真实、有效。
本机构已认真阅读并同意遵守中金金融认证中心有限公司(CFCA)网站()发布的《数字证书服务协议》、《全球信任体系电子认证业务规则(CPS))》中规定的相关义务。
申请机构盖章 日期 备注 注:
1、申请机构须同时提供机构证件复印件、经办人身份证件复印件、机构授予经办人的授权 45 中国金融认证中心书原件,以上资料均需加盖公章 CFCA全球信任证书技术手册
2、申请机构在正式申请前须与CFCA技术人员进行充分沟通,确认该证书能够满足本机构需求。
此申请表一经申请机构盖章确认后,就表明其申请的全球服务器证书已满足本机构的需求。
46 中国金融认证中心 CFCA全球信任证书技术手册 附录
三、CFCA全球信任根证书获取方式 WindowsVista、Windows7WindowsVista以及更高版本的操作系统,Windows通过根证书自动更新机 制分发CFCA全球信任根证书。
即,用户访问含有CFCA全球信任证书的网站、读取含有CFCA全球信任证书的安全电子邮件、执行含有CFCA全球信任证书代码签名的ActiveX控件及可执行程序时,Windows证书链验证程序访问Microsoft根证书信任列表,自动下载CFCA全球信任根证书,并将其安装在用户Windows受信任根证书颁发机构存储区。
整个过程自动完成,用户不会看到任何安全性对话框或警告。
有关WindowsVista、Windows7根证书更新的详细技术信息,请访问以下网站: 749331(WS.10).aspx WindowsXPWindowsXP含有更新根证书组件(控制面板——添加或删除程序——添加/ 删除Windows组件),当用户访问含有CFCA全球信任证书的网站、读取含有CFCA全球信任证书的安全电子邮件、执行含有CFCA全球信任证书代码签名的ActiveX控件及可执行程序时,更新根证书组件将联系的微软WindowsUpdate站点检查根证书信任列表,自动下载CFCA全球信任根证书,并将其安装在用户Windows受信任根证书颁发机构存储区。
有关WindowsXP根证书更新的详细技术信息,请访问以下网站: /en-us/library/bb457160.aspx Firefox浏览器CFCAEV根证书已经内置在Firefox浏览器中,包括Windows、Linux、MacOS
X、Andriod等平台。
用户升级到Firefoxv38.0及以上版本,即可获取CFCAEV根证书。
47 中国金融认证中心 CFCA全球信任证书技术手册 附录
四、CFCA全球信任证书链 CFCA全球服务器证书体系如下: 主题:CN=CFCAEVROOTO=ChinaFinancialCertificationAuthorityC=CN 序列号:18d6有效期:2012年8月8日11:07:01——2029年12月31日11:07:01摘要算法:SHA256密钥长度:RSA(4096Bits)-----BEGINCERTIFICATE----MIIFjTCCA3WgAwIBAgIEGErM1jANBgkqhkiG9w0BAQsFADBWMQswCQYDVQQGEwJDRpZmljYXRpb24gQXV0aG9yaXR5MRUwEwYDVQQDDAxDRkNBIEVWIFJPT1QwHhcNMTIwODA4MDMwNzAxWhcNMjkxMjMxMDMwNzAxWjBWMQswCQYDVQQGEwJDTjEwMC4GA1UECgwnQ2hpbmEgRmluYW5jRpZmljYXRpb24gQXV0aG9yaXR5MRUwEwYDVQQDDAxDRkNBIEVWIFJPT1QwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDXXWvNED8fBVnVBU03sQ7smCuOFR36k0sXgiFxEFLXUWRwFsJVaU2OFW2fvwwbwuCjZ9YMrM8irq93VCpLTIpTUnrD7i7es3ElweldPe6hL6P3KjzJIx1qqx2hp/Hz7KDVRM8Vz3IvHWOX6Jn5/ZOkVIBMUtRSqy5J35DNuF++P96hyk0g1CXohClTt7GIH//62pCfCqktQT+x8Rgp7hZZLDRJGqgG16iI0gNyejLi6mhNbiyWZXvKWfry4t3uMCz7zEasxGPrb382KzRzEpR/38wmnvFyXVBlWY9ps4deMm/DGIq1lY+wejfeWkU7xzbh72fROdOXW3NiGUgt 48 中国金融认证中心 CFCA全球信任证书技术手册 hxwG+3SYIElz8AXSG7Ggo7cbcNOIabla1jj0Ytwli3i/+Oh+uFzJlU9fpy25IGvP a931DfSCt/SyZi4QKPaXWnuWFo8BGS1sbn85WAZkgwGDg8NNkt0yxoekN+kWzqot aK8KgWU6cMGbrU1tVMoqLUuFG7OA5nBFDWteNfB/O7ic5ARwiRIlk9oKmSJgamNg TnYGmE69g60dWIolhdLHZR4tjsbftsbhf4oEIRUpdPA+nJCdDC7xij5aqgwJHsfV PKPtl8MeNPo4+QgO48BdK4PRVmrJtqhUUy54Mmc9gn900PvhtgVguXDbjgv5E1hv cWAQUhC5wUEJ73IfZzF4/5YFjQIDAQABo2MwYTAfBgNVHSMEGDAWgBTj/i39KNAL tbq2osS/BqoFjJP7LzAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjAd BgNVHQ4EFgQU4/4t/SjQC7W6tqLEvwaqBYyT+y8wDQYJKoZIhvcNAQELBQADggIB ACXGumvrh8vegjmWPfBEp2uEcwPenStPuiB/vHiyz5ewG5zz13ku9Ui20vsXiObT ej/tUxPQ4i9qecsAIyjmHjdXNYmEwnZPNDatZ8POQQaIxffu2Bq41gt/UP+TqhdL jOztUmCypAbqTuv0axn96/Ua4CUqmtzHQTb3yHQFhDmVOdYLO6Qn+gjYXB74BGBS ESgoA//vU2YApUo0FmZ8/Qmkrp5nGm9BC2sGE5uPhnEFtC+NiWYzKXZUmhH4J/qy P5Hgzg0b8zAarb8iXRvTvyUFTeGSGn+ZnzxEk8rUQElsgIfXBDrDMlI1Dlb4pd19 xIsNER9Tyx6yF7Zod1rg1MvIB671Oi6ON7fQAUtDKXeMOZePglr4UeWJoBjnaH9d Ci77o0cOPaYjesYBx4/IXr9tgFa+iiS6M+qf4TIRnvHST4D2G0CvOJ4RUHlzEhLN 5mydLIhyPDCBBpEi6lmt2hkuIsKNuYyH4Ga8cyNfIWRjgEj1oDwYPZTISEEdQLpe /v5WOaHIz16eGWRGENoXkbcFgKyLmZJ956LYBws2J+dIeWCKw9cTXPhyQN9Ky8+
Z AAoACxGV2lZFA4gKn2fQ1XmxqI1AbQ3CekD6819kR5LLU7m7Wc5P/dAVUwHY3+vZ 5nbv0CO7O6l5s9UCKc2Jo5YPSjXnTkLAdc0Hz+Ys63su -----ENDCERTIFICATE----- 主题:CN=CFCAEVOCAO=ChinaFinancialCertificationAuthorityC=CN 序列号:00b4cf943266有效期:2012年8月8日14:06:31——2029年12月29日14:06:31摘要算法:SHA256密钥长度:RSA(2048Bits)-----BEGINCERTIFICATE----- 49 中国金融认证中心 CFCA全球信任证书技术手册 MIIFTjCCAzagAwIBAgIGALTPlDJmMA0GCSqGSIb3DQEBCwUAMFYxCzAJBgNVBAYT AkNOMTAwLgYDVQQKDCdDaGluYSBGaW5hbmNpYWwgQ2VydGlmaWNhdGlvbiBBdXRo b3JpdHkxFTATBgNVBAMMDENGQ0EgRVYgUk9PVDAeFw0xMjA4MDgwNjA2MzFaFw0y OTEyMjkwNjA2MzFaMFUxCzAJBgNVBAYTAkNOMTAwLgYDVQQKDCdDaGluYSBGaW5h bmNpYWwgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkxFDASBgNVBAMMC0NGQ0EgRVYg T0NBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA02OMsGFxFQIPMKVP oRaO9rHNX41xbq8jhnbdK0MDVbxfGa3b8QTKxMcmxlRlULfsaie0cIlaRl0AUcJP QH9ftekzh4T287xqsEAydYQHf77arWQ5nY3fR9RcoBq9pTCQbqw49S6/jHA5oPQa EoKbF0G8zfVKp5PrcKSufHMQyKo/Ez2UYT+gut36j4GYpAABuV6PbusPpjufsN9B r9+xqgyz8ubSp1Wl1qSlvQUQBhAJAH+a3NMhD0illaGfTdWbF485a5NilMFGqJBa /kLVEYwG4aoKdV9vG/NFS0LKz3QVnB7bkrLjTkuGN/zQJP0daJ3CGAzmN+Cr2ujt XOfAYwIDAQABo4IBITCCAR0wOAYIKwYBBQUHAQEELDAqMCgGCCsGAQUFBzABhhxo dHRwOi8vb2NzcC5jZmNhLmNvbS5jbi9vY3NwMB8GA1UdIwQYMBaAFOP+Lf0o0Au1 uraixL8GqgWMk/svMA8GA1UdEwEB/wQFMAMBAf8wRAYDVR0gBD0wOzA5BgRVHSAA MDEwLwYIKwYBBQUHAgEWI2h0dHA6Ly93d3cuY2ZjYS5jb20uY24vdXMvdXMtMTIu aHRtMDoGA1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwuY2ZjYS5jb20uY24vZXZy Y2EvUlNBL2NybDEuY3JsMA4GA1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQUVQji3MyV bR9d3rNH6OkWxsBFd8QwDQYJKoZIhvcNAQELBQADggIBAMmFEIoCE9UNmb2BYYhT RV12kNVucP6t683BaFTgJizIJw/ebvvTdWNTycyP5MQFlHKrIYwjvFO9Rfw8+yIs sT3JFYiqsLBswvaMr3AIuA2mTnmasvZFe6P19qitzTRkz+TL6TFailrtnzudsvn2 SeVbRiX+6CsyNNMoPsRHTeZAEpkB7J3vh+ZAiv3gsIXtjtz5Y1iWWRZipemJ/qEf W2hDONB+T6lGcEXHDi9dIkWcC/jFT4XPM64pagAz9gEGZg1PzFBE8QMxiwaDAOea G0l0e/HW4wJlo4ZzOELqZGJLlYhQ8AkBYR95NEtR9j5bWK98Lznykldk2MDLBD2m rIfMkVjMwEj4A8ElMXsLnWXXg41NN6gjUm2/IudKOaGqniPs5SZrN36O4B3NzsaZ dLznHH5H0+aksurjgme8RAG0A2OAnRG3VXBWrxud7t0KDINLs+mxY7IR+xVZ2cw6 Cer8HnAVfKPJrbdq7vyJJkIpCll+mLHaGgvv3IqiU4rrrllE3NYjKG4Fk2MiYvZg 10KXA8tlYsLt8I/RcNmC2TvjZHYVE3tanbGw53TRGFk2Vq68XOkvooOardihwRkg qcOgUvouORuvSqTlkQizTFH6FTUt3xuuED4dnn5N/1ijcDt0N3l5ovoyHOVcYiO4 drCN96LHiUoiSfYODmpXG2tl 50 中国金融认证中心 -----ENDCERTIFICATE----- CFCA全球信任证书技术手册 主题:CN=CFCAOVOCAO=ChinaFinancialCertificationAuthorityC=CN 序列号:00f9df6adff564bea68b82有效期:2015年3月25日10:02:56——2029年12月25日10:02:56摘要算法:SHA256密钥长度:RSA(2048Bits)-----BEGINCERTIFICATE----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 51 中国金融认证中心 CFCA全球信任证书技术手册 OSg3UovOoc7/xz2mE+enyEcSwn/0QrL8C5DSA6nMvBMrCWEytYPofGQUXTwtlu78 GLxYNn3A/RtzczJ+/BXIhoe3aOT4tQ+2s9vrFRfIXs4CkmqHhfYSvArokdayYmBd 78psIwS5LCUzGKSn7y8UmAgoxiy7RtrVt5c1wvJyeuYk1Z1l8MN1szPrmAb4HS/D qnB+0qdhFGvfOyv7lg6/wlIAkN84cHlKNC3JvyFHaCIAyhTPgjUayUvBKFK7XwN9 utIXl2L3IZX7zfxGS/J9+ZeNwyblQKmd/MKydJu9Ak6+ZMLLgjlCFkihJIn9Ur8M 2KQigz7YPDVIJjOtS7ljOQVGh88LPUnQ1fBY7RwagficS/xclIOnaXhoyWzg7EcQ /T1/O4FkpMqKuOreaI5NExjAT8cKizyY2wcOOXKIYri3Ewnbm+00IaYYaiQRGUR6 pzFFKxdFMbStCtI4ObN+BCW4vz3sAJd/OgmLF38XTa+/km3c1nQOfhCGs 6kx2heN/DgFAc+P7ldObo/kgGQtR6tr02gyXCFWnLMtT0+CoNOY0o3T+LbEqYeKL W7p29G9sgHgoqLFibWNMSKG1QvevkhjUMOD/g48f/nMSYsbU++yEaLvjvRHbb5ON IPkcE28TRhQQKmDKI+DRIg== -----ENDCERTIFICATE----- 52 中国金融认证中心 CFCA全球信任证书技术手册 附录
五、SHA摘要算法介绍 安全哈希算法(SecureHashAlgorithm)主要适用于数字签名标准(DigitalSignatureStandardDSS)里面定义的数字签名算法(DigitalSignatureAlgorithmDSA)。
对于长度小于2^64位的消息,产生一个消息摘要。
消息摘要可以用来验证数据的完整性。
SHA家族的五个算法,分别是SHA-
1、SHA-224、SHA-256、SHA-384,和SHA-512,后四者并称为SHA-
2。
支持SHA2的操作系统包括:Windows8.1、Windows8、Windows7、WindowsServer2012R2、WindowsServer2012、WindowsServer2008R2、WindowsServer2008、WindowsVista、WindowsServer2003R2、Windows2003ServerSP2、32位WindowsXPSP3、64位WindowsXPSP2。
由于SHA1摘要算法存在杂凑冲撞攻击,随着计算机运算能力越来越强,其安全性受到越来越严重的威胁。
微软、谷歌等陆续发布了弃用SHA1摘要算法的时间表。
微软方面,要求CA机构2016年之后不能再签发新的SHA1摘要算法的SSL站点证书。
2017年之后,WindowsVista、WindowsServer2008及以上版本操作系统将无法访问SHA1摘要算法SSL证书的网站。
谷歌方面,Chrome浏览器将对SHA1摘要算法SSL证书的站点提示安全警告。
53 中国金融认证中心 附录
六、常见问题 CFCA全球信任证书技术手册
1、CFCA全球信任SSL证书支持的操作系统和浏览器 Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度 等国产浏览器; WindowsMobile平台浏览器100%支持; Linux平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; Andriod(Android6.0Marshmallow)平台浏览器100%支持。
浏览器操作系统 Explorer MozillaFirefox GoogleChrome Safari Windows √ √ √ —— Unix/Linux —— √ √ —— MacOS —— √ × × iOS —— —— × × Andriod6.0 —— √ Marshmallow √ —— Windows √ √ √ —— Mobile √:表示该浏览器完全支持CFCA全球信任SSL证书; ×;表示该浏览器不完全支持CFCA全球信任SSL证书,当浏览器访问含有 CFCA全球信任SSL证书的网站时,会有站点证书不受信任的提示; ——:表示该浏览器不支持该操作系统。
2、WindowsXPSP2操作系统使用CFCAEVSSL证书 CFCAEVSSL证书采用SHA256摘要算法,而WindowsXPSP2操作系统并不 54 中国金融认证中心 CFCA全球信任证书技术手册 支持该算法。
在WindowsXPSP2操作系统中,使用IE浏览器无法访问含有CFCA EVSSL证书的网站(包括使用其他CA机构SHA256摘要算法SSL证书的网站)。
可以将操作系统升级到WindowsXPSP3及以上版本,即可正常访问。
此外,火狐(Firefox)、谷歌(Chrome)等浏览器不依赖操作系统,浏览器 本身支持SHA256摘要算法。
因而可以在WindowsXPSP2操作系统上使用这些浏 览器访问含有CFCAEVSSL证书的网站。
3、通过HTTPS访问,页面弹出警告“是否只查看安全传送的网页内容” 当网页包括经加密传送的HTTPS内容和未经加密传送的HTTP内容时,IE会弹出警告询问用户是否允许接受未经加密的内容。
可以在“工具”——“选项”——“安全”——“自定义级别”——“显示混合内容”设置为“启用”,即可不再弹出该提示。
一般来说,当HTTPS页面引用外部HTTP链接时,会提示此内容不安全。
可以通过Firefox的Web控制台,或者Chrome的JavaScript控制台查看到具体的报错代码行,并可以参考相关提示修改页面代码。
4、Chrome、Firefox提示“SSL收到了一个弱临时Diffie-Hellman密钥” 55 中国金融认证中心 CFCA全球信任证书技术手册 Chrome、Firefox等最新版本的浏览器,对客户端浏览器和网站服务器之间的密钥算法有较高要求,不允许客户端浏览器和网站服务器之间使用相对较弱的密钥算法。
该问题需要调整Web应用服务器的相关配置,限定客户端浏览器和网站服务器之间使用较高强度的密钥。
常用的Web应用服务器配置密钥算法的方式如下:Apache:在httpd-ssl.conf配置文件中增加如下内容:SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!
aNULL:!
eNULL:!
EXPORT:!
DES:!
RC4:!
MD5:!
PSK:!
aECDH:!
EDH-DSS-DES-CBC3-SHA:!
EDH-RSA-DES-CBC3-SHA:!
KRB5-DES-CBC3-SHA Nginx: 56 中国金融认证中心 CFCA全球信任证书技术手册 在conf/nginx.conf配置文件中增加如下内容: SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-
A ES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SH A256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:EC DHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:EC DHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-
A ES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SH A:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES 128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!
aNULL:!
eNULL:!
EXPORT:!
DES:!
R C4:!
MD5:!
PSK:!
aECDH:!
EDH-DSS-DES-CBC3-SHA:!
EDH-RSA-DES-CBC3-SHA:!
KRB5-DES -CBC3-SHA Tomcat:在conf/server.xml配置文件中增加如下内容:
一、CFCA全球信任SSL证书介绍............................11.1什么是SSL证书?..................................11.2什么是CFCA全球信任SSL证书?.....................11.3CFCA全球信任SSL证书有哪些优势?.................21.4CFCA全球信任SSL证书有哪些产品?.................21.4.1CFCAEVSSL证书.............................31.4.2CFCAEV多域名SSL证书.......................31.4.3CFCAOVSSL证书.............................41.4.4CFCAOV多域名SSL证书.......................51.4.5CFCAOV通配符SSL证书.......................6
二、CFCA全球信任SSL证书办理............................72.1机构申请.........................................72.2CFCA审核.........................................72.3证书签发.........................................82.4证书更新、延期、吊销..............................8
三、CFCA全球信任SSL证书制作............................83.1证书制作说明.....................................83.2密钥和证书请求文件CSR............................93.3证书文件格式.....................................9 中国金融认证中心 CFCA全球信任证书技术手册 3.4证书制作........................................10 3.4.1使用Keytool工具制作证书....................10 3.4.2使用OpenSSL工具制作证书....................13 3.4.3使用iKeyman工具制作证书....................15 3.5证书格式转换....................................20 3.5.1JKS转换为PFX...............................21 3.5.2PFX转换为JKS...............................21 3.5.3KEY&CRT转换为PFX...........................21 3.5.4PFX转换为KEY&CRT...........................21 3.5.5KDB转换为PFX...............................21 3.5.6PFX转换为KDB...............................22 3.6证书部署........................................27 3.6.1Apache证书配置.............................27 3.6.2Tomcat证书配置.............................28 3.6.3Nginx证书配置..............................29 3.6.4Weblogic证书配置...........................31 3.6.5IBMHttpServer证书配置....................34 3.6.6JBoss证书配置..............................35 3.6.7IIS证书配置................................35 附录
一、CFCAEV证书申请表..............................42 附录
二、CFCAOV证书申请表..............................45 附录
三、CFCA全球信任根证书获取方式.....................47 中国金融认证中心 CFCA全球信任证书技术手册 附录
四、CFCA全球信任证书链.............................48 附录
五、SHA摘要算法介绍................................53 附录
六、常见问题.......................................54 中国金融认证中心 CFCA全球信任证书技术手册
一、CFCA全球信任SSL证书介绍 1.1什么是SSL证书? 随着信息技术的发展,互联网站以及基于互联网的应用系统面临越来越严重的安全威胁。
其中,网站面临的两个最基本的问题是:
1、网站身份的真实性用户访问网站时需要确认网站的真实性。
由于互联网的开放和共享,互联网上存在很多虚假的网站。
如何让用户信任自己访问的网站是真实的?
2、信息传输的保密性大量的网上应用需要用户向网站应用系统提交一些隐私或者机密信息,同时网站应用系统也可能向用户返回一些隐私或者机密信息。
如何确保信息传输过程中的安全?SSL证书,是由权威的、可信的第三方数字证书认证机构(CA)签发的,用来标记网站身份的数字证书。
因其通常部署在网站服务器上,也称为网站证书或者服务器证书。
SSL证书通过在客户端浏览器和网站服务器之间建立一条SSL安全通道(SecureSocketLayer),对传输的数据进行加密,确保数据在传输过程中不被窃听、篡改和伪造。
有效地解决了网站身份的真实性和信息传输的保密性问题。
1.2什么是CFCA全球信任SSL证书? 中国金融认证中心(ChinaFinancialCertificationAuthority,简称CFCA)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是国家重要的金融信息安全基础设施之
一。
在《中华人民共和国电子签名法》颁布后,CFCA成为首批获得电子认证服务许可的电子认证服务机构。
中国金融认证中心全球信任证书(GlobalTrustCertificate)是发放给全球范围的数字证书,通过微软根证书项目认证、谷歌Andriod项目认证、Mozilla根证书认证,其根证书已经预埋在微软所有系统、设备,谷歌的Andriod系统、以及
1 中国金融认证中心 CFCA全球信任证书技术手册 Mozilla所有产品中。
CFCA全球服务器证书(SSL证书)由CFCA自主研发。
CFCA作为国内第一家 与国外SSL服务器证书厂商媲美的电子认证服务机构,严格按照国际标准提供电 子认证服务,并结合我国国情,在密码算法、安全技术服务等方面兼容国际和国 产算法。
目前已通过第三方审计公司按照国内、国际双重标准进行的审计。
CFCA全球服务器证书(SSL证书)相当于Web站点的网络身份证,可为Web 站点提供身份鉴定,并为Web站点提供高强度安全加密传输,保证信息在传输 过程中的安全,能够有效地防止信息传输过程中的网络钓鱼、窃听、篡改等安全 问题。
1.3CFCA全球信任SSL证书有哪些优势? CFCA全球信任SSL证书的优势:由中国权威数字证书认证机构CFCA签发;CFCA是国际CA浏览器联盟组织(CA/BrowserForum)成员,是国际证 书标准的参与者;CFCA通过国际WebTrust认证,遵循全球统一鉴证标准;根系统、吊销列表、证书管理、鉴证资料、服务支持本地化;金融级的安全保障服务;完善的风险承保计划,确保理赔的可行性和便捷性;中文版CPS(全球信任体系电子认证业务规则)便于用户理解双方权利 和义务。
1.4CFCA全球信任SSL证书有哪些产品? CFCA全球信任SSL证书包括:CFCAEVSSL证书CFCAEV多域名SSL证书CFCAOVSSL证书CFCAOV多域名SSL证书CFCAOV通配符SSL证书
2 中国金融认证中心 CFCA全球信任证书技术手册 1.4.1CFCAEVSSL证书 CFCAEVSSL服务器证书相当于网站的身份证,可为网站提供身份鉴定和高强度安全加密服务。
CFCAEVSSL证书遵循全球统一认证标准中最严格的WebtrustEV标准。
部署CFCAEVSSL证书的网站,浏览器地址栏自动变成绿色,循环显示公司名称(支持中文)和CFCA认证机构标识。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至2年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度等国产浏览器;WindowsPhone平台浏览器100%支持;Andriod(Android6.0Marshmallow)平台浏览器100%支持;Linux平台浏览器100%支持;MacOS平台支持MozillaFirefox浏览器;支持128位至256位加密强度;最高人民币50万元赔付保障。
1.4.2CFCAEV多域名SSL证书
3 中国金融认证中心 CFCA全球信任证书技术手册 CFCAEV多域名SSL证书,将有限多个域名写入一个证书文件中,可以同时 保护多个域名的EVSSL证书。
部署CFCAEV多域名SSL证书的多个网站,浏览器 地址栏自动变成绿色,循环显示公司名称(支持中文)和CFCA认证机构标识。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer), 有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至2年; 2至5个工作日快速签发; 有效期内免费重新签发; 证书到期前自动提醒; 提供安全站点签章; 支持RSA算法,2048位密钥强度,SHA256摘要算法; Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Linux平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.3CFCAOVSSL证书 CFCAOVSSL服务器证书相当于网站的身份证,可为网站提供身份鉴定和高强度安全加密服务。
部署CFCA标准SSL证书的网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;
4 中国金融认证中心 CFCA全球信任证书技术手册 2至5个工作日快速签发; 有效期内免费重新签发; 证书到期前自动提醒; 提供安全站点签章; 支持RSA算法,2048位密钥强度,SHA256摘要算法; Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Linux平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.4CFCAOV多域名SSL证书 CFCAOV多域名SSL证书,将有限多个域名写入一个证书文件中,可以同时保护多个域名的SSL证书。
部署CFCA标准多域名SSL证书的多个网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎
5 中国金融认证中心 CFCA全球信任证书技术手册 豹、百度等国产浏览器; WindowsPhone平台浏览器100%支持; Andriod(Android6.0Marshmallow)平台浏览器100%支持; Linux平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; 支持128位至256位加密强度; 最高人民币50万元赔付保障。
1.4.5CFCAOV通配符SSL证书 CFCAOV通配符SSL证书适用于网站主域名()以及子域名(*),不限制子域名数量。
部署CFCA标准通配符SSL证书的多个网站,浏览器地址栏有锁的标志,可以查看证书颁发机构名称,增加客户信赖度。
访客浏览器和网站服务器之间建立起SSL安全加密通道(SecureSocketsLayer),有效地防止信息传输过程中的网络窃听、伪造、篡改等安全问题。
有效期1至3年;2至5个工作日快速签发;有效期内免费重新签发;证书到期前自动提醒;提供安全站点签章;支持RSA算法,2048位密钥强度,SHA256摘要算法;Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度等国产浏览器;WindowsPhone平台浏览器100%支持;Andriod(Android6.0Marshmallow)平台浏览器100%支持;Linux平台浏览器100%支持;MacOS平台支持MozillaFirefox浏览器;支持128位至256位加密强度;最高人民币50万元赔付保障。
6 中国金融认证中心 CFCA全球信任证书技术手册
二、CFCA全球信任SSL证书办理 CFCA全球信任SSL证书办理过程,申请机构必须提供真实的材料,以证明机构的真实身份、申请人的真实身份、机构对网站域名的所有权等。
CFCA将对机构提供的材料进行严格审查。
2.1机构申请 申请机构需要向CFCA提供如下材料:
1、证书申请表(详见附录
一、附录二);
2、至少一种机构身份证件(如,企业营业执照副本复印件);
3、申请人的个人身份证件(如,申请人身份证复印件);
4、机构授予申请人的授权证明;
5、域名或者公网IP的证明(内网IP不能申请);
6、证书请求文件CSR(什么是CSR?请参考3.3章节)。
以上材料除第6项外,均需加盖公章。
所盖公章为机构公章,不可使用部门章、业务章等,并且公章的名称要与机构名称一致。
申请机构需要将上述所有材料提供给CFCA商务经理,申请机构必须保证所提供材料的真实性,CFCA商务经理将协助机构办理证书。
2.2CFCA审核 CFCA业务部门将对申请机构提供的材料进行审查,主要内容包括:
1、检查证书申请表中机构信息与提供的机构身份证件是否相符。
2、检查证书申请表中申请人信息与提供的申请人身份证件是否相符,与机构授予申请人的授权证明是否一致。
3、检查证书申请表中域名与提供的域名证明是否相符。
如检查域名非申请机构所有,则需要申请机构提供该域名所有者出具的唯一使用该域名的授权证明
7 中国金融认证中心 CFCA全球信任证书技术手册 材料。
如使用公网IP,需提供网络运营商出具的IP授权使用证明。
4、CSR文件,DN规则要求符合如下规范:
(1)DN中各项顺序依次为:CN、OU、
O、L、ST、C;
(2)CN项必须是域名,与证书申请表中域名一致;
(3)O项必须是真实的、完整的机构名称,与证书申请表中机构名称一致;
(4)L项、ST项、C项是必须是机构所在地区,与机构身份证件中的注册 地区一致。
2.3证书签发 CFCA审核通过后,将由CFCA证书管理员签发证书。
证书公钥及证书链将发送到证书申请表中的申请人电子邮件地址。
2.4证书更新、延期、吊销 机构使用证书过程中,如果出现证书遗失、损坏、密钥泄露等问题,需要重新签发证书的,机构应按照2.1章节重新提供材料办理证书更新。
证书有效期内CFCA免费进行证书更新。
证书到期前三个月内,CFCA商务经理会主动提醒机构申请人办理证书延期。
机构应按照2.1章节重新提供材料办理证书延期。
机构如果不再使用证书,可以联系CFCA商务经理办理证书吊销,并将该证书从网站服务器上移除。
三、CFCA全球信任SSL证书制作 3.1证书制作说明 CFCA全球信任SSL证书需要部署在网站Web服务上,制作证书之前请先了解网站Web服务所使用的软件或者硬件。
1、如果网站使用网关、负载均衡等硬件设备提供Web服务,请咨询相应的硬件厂商制作和部署SSL证书的方法。
8 中国金融认证中心 CFCA全球信任证书技术手册
2、如果网站使用IBMHttpServer(IHS)、InformationServices(IIS)、 OracleWeblogic等商业软件提供Web服务,请优先咨询软件厂商制作和部署SSL 证书的方法。
本章节也提供了部分商业软件制作SSL证书方法,仅供参考。
3、如果网站使用Nginx、Apache、Tomcat等开源软件,请优先通过开源软 件的技术文档了解制作和部署SSL证书的方法。
本章节也提供了部分开源软件制 作SSL证书方法,仅供参考。
3.2密钥和证书请求文件CSR SSL证书中含有一套非对称密钥,用于客户端浏览器和网站服务器之间的数据加密。
证书申请机构应当在安全的服务器或者设备上生成密钥和证书请求文件CSR(CerificateSigningRequest)。
其中,CSR提交给CFCA用于签发证书(详见2.1章节),密钥由证书申请机构保管。
特别注意,任何机构或者个人如果拥有该密钥,即可通过技术手段解密客户端浏览器和网站服务器之间的加密数据,给网站和网站用户造成极大的安全威胁。
因此,证书申请机构务必妥善保管密钥!一旦密钥泄露,请证书申请机构重新生成密钥和CSR,并立即联系CFCA进行证书更新(参考2.4章节)。
CFCA将使用新提供的CSR签发证书,并将已泄露密钥的证书吊销。
此外,证书申请机构只需将CSR提交给CFCA,CFCA使用CSR签发证书。
即CFCA并不拥有证书申请机构的密钥,也无法解密客户端浏览器和网站服务器之间的加密数据。
3.3证书文件格式 一般来说,主流的Web服务软件,通常都基于两种基础密码库:OpenSSL和Java。
Tomcat、Weblogic、JBoss等,使用Java提供的密码库。
通过Java的Keytool工具,生成JavaKeystore(JKS)格式的证书文件。
Apache、Nginx等,使用OpenSSL提供的密码库,生成PEM、KEY、CRT等格式的证书文件。
此外,IBM的产品,如Websphere、IBMHttpServer(IHS)等,使用IBM产
9 中国金融认证中心 CFCA全球信任证书技术手册 品自带的iKeyman工具,生成KDB格式的证书文件。
微软WindowsServer中的 InformationServices(IIS),使用Windows自带的证书库生成PFX格式 的证书文件。
3.4章节提供了部分主流的Web服务软件生成密钥、CSR、证书文件的方法, 3.5章节提供了常用证书文件格式相互转换的方法,仅供参考。
3.4证书制作 3.4.1使用Keytool工具制作证书 Keytool是JDK中自带的密钥管理工具,可以制作Keystore(jks)格式的证书文件。
下载并安装JDK后,可以通过相关命令制作服务器证书。
以下地址可以下载JDK:以下以Windows平台为例,介绍制作证书的方法。
1、进入Keytool目录; cdC:\ProgramFiles\java\jdk1.6.0_39\bin
2、生成证书文件Keystore,文件后缀名可以是jks、keystore,证书文件中包含密钥;keytool-genkey-aliasserver-keyalgRSA-keysize2048-keystoreD:\server.jks 其中,keyalg是密钥类型,必须为RSA;keysize是密钥长度,必须是2048,alias是证书别名,可自定义;keystore是证书文件保存的路径。
而后,输入证书文件的密码: 输入keystore密码:再次输入新密码: 而后,输入名称(CN),即证书申请表中的域名; 您的名字与姓氏是什么?[Unknown]: 而后,输入组织单位(OU),即证书申请表中申请人的部门名称; 您的组织单位名称是什么? 10 中国金融认证中心[Unknown]:技术支持部 CFCA全球信任证书技术手册 而后,输入组织(O),即机构身份证件中机构名称全称; 您的组织名称是什么? [Unknown]:中金金融认证中心有限公司 而后,输入城市(L),即机构身份证件中机构所在市级地区; 您所在的城市或区域名称是什么? [Unknown]:北京 而后,输入省份(ST),即机构身份证件中机构所在省级地区; 您所在的州或省份名称是什么? [Unknown]:北京 而后,输入机构身份证件中机构所在的国家或者行政区(C),限定两位字母,如中国输入CN,美国输入US等; 该单位的两字母国家代码是什么? [Unknown]:CN 输入完成后,确认输入内容是否正确; CN=,OU=技术支持部,O=中金金融认证中心有限公司,L=北京,ST=北京, C=CN正确吗? [否]:
Y 而后,提示输入密钥(Key)密码,可以与证书(Keystore)密码一致; 输入
3、通过证书文件,生成证书请求; keytool-certreq-sigalgSHA256withRSA-aliasserver-keystored:\server.jks-filed:\certreq.csr 其中,sigalg是摘要算法,推荐SHA256withRSA;alias是别名,必须与第2步生成证书文件时定义的别名一致;keystore是证书文件的路径,file是产生证书请求(CSR)的路径。
而后,提示输入keystore的密码; 输入keystore密码: 11 中国金融认证中心 CFCA全球信任证书技术手册 确认后,即产生证书请求(CSR)文件(certreq.csr)。
4、证书申请机构将证书请求文件(certreq.csr)连同相关材料(详见2.1) 提供给CFCA,并妥善保管证书文件(server.jks)。
5、CFCA审核资料后,将公钥证书和证书链反馈给证书申请机构。
6、证书申请机构将收到的公钥证书和证书链(包括根证书和中级证书)装 回到证书文件(server.jks)中。
其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer(详见附录四)。
7、导入根证书(以EV证书为例,OV证书请导入OV的根证书,下同); keytool-import-aliasevca-keystored:\server.jks-trustcacerts-filed:\CFCA_EV_CA.cer 而后,输入证书文件密码; 输入keystore密码: 而后,会显示根证书的属性; 所有者:CN=CFCAEVROOT,O=ChinaFinancialCertificationAuthority,C=CN 发布者:CN=CFCAEVROOT,O=ChinaFinancialCertificationAuthority,C=CN 序列号:d6 有效期开始日期:WedAug0811:07:01CST2012,截止日期:MonDec3111:07:01CST2029 证书指纹: MD5:74:E1:B6:ED:26:7A:7A:44:30:33:94:AB:7B:27:81:30 SHA1:E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83 SHA256: 5C:C3:D7:8E:4E:1D:5E:45:54:7A:04:E6:87:3E:64:F9:0C:F9:53:6D:1C:CC:2E:F8:00:F3:55:C4:C5:FD:
7 0:FD 签名算法名称:SHA256withRSA …… 而后,确认信任认证,导入完成。
信任这个认证?[否]:
Y 12 中国金融认证中心 CFCA全球信任证书技术手册 认证已添加至keystore中
8、导入中级证书; keytool-import-aliasevoca-keystored:\server.jks-trustcacerts-filed:\CFCA_EV_OCA.cer 而后,输入证书文件密码; 输入keystore密码: 导入完成。
认证已添加至keystore中
9、导入服务器证书(证书文件一般以申请单位的全称命名); keytool-import–aliasserver-keystored:\server.jks-trustcacerts-filed:\中金金融认证中心有限 公司.cer 其中,别名(alias)必须是生成证书文件时设置的别名,必须与第2步生成证书文件时定义的别名一致; 而后,输入证书文件密码; 输入keystore密码: 导入完成。
认证已添加至keystore中 完成上述操作后,生成完整的证书文件(server.jks),可以部署在Tomcat、Weblogic等Web应用中。
3.4.2使用OpenSSL工具制作证书 使用OpenSSL工具可以制作KEY和CRT格式的证书文件,OpenSSL工具可以从以下地址下载: /以下以Windows平台为例,介绍制作证书的方法。
1、进入OpenSSL目录;cdD:\OpenSSL\bin2、生成证书文件key和证书请求文件csr;opensslreq-new-newkeyrsa:2048-nodes-keyoutserver.key-outserver.csr其中,newkey必须是rsa:2048,key为密钥文件,csr为证书请求文件,默 13 中国金融认证中心 认都在OpenSSL目录下; CFCA全球信任证书技术手册 Generatinga2048bitRSAprivatekey .....................................................................+++ ..........................+++ writingnewprivatekeyto'server.key' ----- Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest. WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN. Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter'.',thefieldwillbeleftblank. ----- 而后,输入机构身份证件中机构所在的国家或者行政区(C),限定两位字母,如中国输入CN,美国输入US等; CountryName(2lettercode)[AU]:CN 而后,输入省份(ST),即机构身份证件中机构所在省级地区; StateorProvinceName(fullname)[Some-State]:Beijing 而后,输入城市(L),即机构身份证件中机构所在市级地区; LocalityName(eg,city)[]:Beijing 而后,输入组织(O),即机构身份证件中机构名称全称; OrganizationName(eg,pany)[WidgitsPtyLtd]:ChinaFinancial CertificationAuthority 而后,输入组织单位(OU),即证书申请表中申请人的部门名称; OrganizationalUnitName(eg,section)[]:TechnologyDepartment 而后,输入名称(CN),即证书申请表中的域名; CommonName(e.g.serverFQDNorYOURname)[]: 而后,以下几项均可不填写; EmailAddress[]: 14 中国金融认证中心 CFCA全球信任证书技术手册 Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]: Anpanyname[]: Pleaseenterthefollowing'extra'attributes 而后,将在OpenSSL目录下,产生证书文件key和证书请求文件csr。
3、证书申请机构将证书请求文件(server.csr)连同相关材料(详见2.1章 节)提供给CFCA,并妥善保管密钥文件(server.key)。
4、CFCA审核订户资料后,将公钥证书和证书链反馈给订户。
其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer。
5、将服务器证书公钥另存为server.crt。
完成上述操作后,server.key为密钥文件、server.crt为服务器证书文件,和 证书链文件一起,可以部署在Apache、Nginx等Web应用中。
3.4.3使用iKeyman工具制作证书 IBMHTTPServer含有iKeyman,可以制作证书。
1、执行IHS7安装目录下,“bin”目录下的“ikeyman”命令,进入iKeyman界面。
15 中国金融认证中心 CFCA全球信任证书技术手册
2、选择“密钥数据库文件——新建”,弹出以下对话框。
3、在密钥数据库类型中选择“CMS”。
点击“浏览”选择密钥数据库文件所在路径,默认情况下应该在执行ikeyman的bin目录下。
点击确定进入如下界面:
4、输入密钥数据库的密码,选择“将密码存储到文件中”点击“确定”进 16 中国金融认证中心 CFCA全球信任证书技术手册 入如下界面,同时生成密码存储文件“key.sth”。
该密码存储文件必须和密码数 据库文件放在同一目录下。
5、切换到“个人证书请求”,选择界面上方的“创建——新建证书请求”进入如下界面。
其中: 密钥大小必须为2048;公用名(CN),即证书申请表中的域名;组织(O),即机构身份证件中机构名称全称;组织单元(OU),即证书申请表中申请人的部门名称;市、县、区(L),即机构身份证件中机构所在市级地区;省、直辖市(ST),即机构身份证件中机构所在省级地区;国家或地区(C),输入机构身份证件中机构所在的国家或者行政区,限定两位字母,如中国输入CN,美国输入US等。
6、点击确定后,即在该路径下生成证书请求文件certreq.arm。
证书申请机构将证书请求文件提供给CFCA,并妥善保管证书文件(key.kdb)和证书密码文件(key.sth)。
7、CFCA审核订户资料后,将公钥证书和证书链反馈给订户。
8、证书申请机构将收到的公钥证书和证书链装回到证书文件(key.kdb)中。
17 中国金融认证中心 CFCA全球信任证书技术手册 其中,证书文件一般以申请单位全称命名;EVSSL证书、EV多域名SSL证书 的根证书是CFCA_EV_CA.cer;中级证书是CFCA_EV_OCA.cer;OVSSL证书、OV 多域名SSL证书、OV通配符SSL证书的根证书是CFCA_EV_CA.cer;中级证书是 CFCA_OV_OCA.cer。
9、选择“签署入证书”,进入如下界面。
10、选择“添加”,弹出选择证书对话框,选择根证书,点击确定,导入完成。
同样,将中级证书也导入到key.kdb中。
11、在密钥数据库中选择“个人证书”,进入下面的界面。
18 中国金融认证中心 CFCA全球信任证书技术手册 14、点击“接收”,弹出如下对话框。
15、选择服务器证书公钥文件,点击“确定”,导入完成。
19 中国金融认证中心 CFCA全球信任证书技术手册 3.5证书格式转换 Tomcat、Weblogic、JBoss等,使用JavaKeystore(JKS)格式的证书文件;Apache、Nginx等,使用KEY、CRT格式的证书文件;IBMWebsphere、IBMHttpServer等,使用KDB格式的证书文件;IIS等,使用PFX(P12)格式的证书文件;JKS、KEY&CRT、KDB、PFX等格式的证书文件可以相互转换。
如下图所示: 20 中国金融认证中心 CFCA全球信任证书技术手册 3.5.1JKS转换为PFX 可以使用Keytool工具,将JKS格式转换为PFX格式。
keytool-importkeystore-srckeystoreD:\server.jks-destkeystoreD:\server.pfx -srcstoretypeJKS-deststoretypePKCS12 3.5.2PFX转换为JKS 可以使用Keytool工具,将PFX格式转换为JKS格式。
keytool-importkeystore-srckeystoreD:\server.pfx-destkeystoreD:\server.jks-srcstoretypePKCS12-deststoretypeJKS 3.5.3KEY&CRT转换为PFX 使用OpenSSL工具,可以将密钥文件KEY和公钥文件CRT转化为PFX文件。
将密钥文件KEY和公钥文件CRT放到OpenSSL目录下,打开OpenSSL执行以下命令:opensslpkcs12-export-outserver.pfx-inkeyserver.key-inserver.crt 3.5.4PFX转换为KEY&CRT 使用OpenSSL工具,可以将PFX文件转化为密钥文件KEY和公钥文件CRT。
将PFX文件放到OpenSSL目录下,打开OpenSSL执行以下命令:opensslpkcs12-inserver.pfx-nodes-outserver.pemopensslrsa-inserver.pem-outserver.keyopensslx509-inserver.pem-outserver.crt 3.5.5KDB转换为PFX 使用iKeyman工具,可以将KDB文件转化为PFX文件。
打开KDB文件,点击“导出”按钮。
21 中国金融认证中心 CFCA全球信任证书技术手册 选择“导出密钥”,选择PKCS12格式。
设置PFX密码。
即可导出PFX文件。
3.5.6PFX转换为KDB 使用iKeyman工具,可以将PFX文件转化为KDB文件。
22 中国金融认证中心 打开iKeyman,新建一个KDB文件。
CFCA全球信任证书技术手册 输入密码,可将密码存储到文件中。
选择签署者证书,点击“添加”按钮。
23 中国金融认证中心 CFCA全球信任证书技术手册 依次将根证书CFCA_GT_CA.cer和中级证书CFCA_OCA2.cer导入。
选择个人证书,点击“导入”按钮。
选择PKCS12类型,选择PFX文件。
24 中国金融认证中心 输入PFX密码。
输入标签名称。
CFCA全球信任证书技术手册 导入成功后,查看个人证书。
25 中国金融认证中心 CFCA全球信任证书技术手册 证书信息中,勾选“将此证书设置为缺省证书”。
26 中国金融认证中心 而后保存KDB文件即可。
CFCA全球信任证书技术手册 3.6证书部署 证书部署方式,请优先咨询提供Web应用软件的软件或者硬件厂商,本章节也提供了部分Web应用软件部署证书的方式,仅供参考。
3.6.1Apache证书配置 Apache使用KEY和CRT格式的证书,证书制作方式请参考“3.4使用OpenSSL工具制作证书”。
将中级证书和根证书打开,依次将其代码复制到文本文件中(包括“-----BEGINCERTIFICATE-----”和“-----ENDCERTIFICATE-----”),并保存成cfca.crt。
如下: -----BEGINCERTIFICATE----中级证书编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----根证书编码-----ENDCERTIFICATE----- 将服务器证书文件server.key和server.crt,以及证书链文件cfca.crt,配置在Apache中。
用文本编辑器打开Apache根目录下的conf/httpd.conf文件,去掉下述两行的注释符号#。
#LoadModulessl_modulemodules/mod_ssl.so#Includeconf/extra/httpd-ssl.conf用文本编辑器打开Apache根目录下的conf/extra/httpd-ssl.conf文件,修改以下内容: 27 中国金融认证中心 CFCA全球信任证书技术手册
3.6.2Tomcat证书配置 Tomcat使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
将服务器证书文件(server.jks),配置在Tomcat中。
文本编辑器打开Tomcat安装目录下conf目录中的server.xml文件,更新以下内容。
28 中国金融认证中心 CFCA全球信任证书技术手册
3.6.3Nginx证书配置 Nginx使用KEY和CRT格式的证书,证书制作方式请参考“3.4使用OpenSSL工具制作证书”。
将服务器证书、中级证书CFCA_OCA2.cer和根证书CFCA_GT_CA.cer打开,依次将其代码复制到文本文件中(包括“-----BEGINCERTIFICATE-----”和“-----ENDCERTIFICATE-----”),并保存成server.crt。
如下: 29 中国金融认证中心 -----BEGINCERTIFICATE----服务器证书编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----中级证书CFCA_OCA2.cer编码-----ENDCERTIFICATE----- -----BEGINCERTIFICATE----根证书CFCA_GT_CA.cer编码-----ENDCERTIFICATE----- CFCA全球信任证书技术手册 将服务器证书文件server.key和server.crt,配置在Nginx中。
如果是单向SSL,用文本编辑器打开Nginx根目录下conf/nginx.conf文件,更新以下内容: server{listen443;server_name127.0.0.1;sslon;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_certificateserver.crt;ssl_certificate_keyserver.key;} 其中:启用SSL功能:sslon禁用SSLv2、SSLv3协议:ssl_protocolsTLSv1TLSv1.1TLSv1.2公钥文件:ssl_certificateserver.crt路径私钥文件:ssl_certificate_keyserver.key路径上述设置完成过后,重新启动Nginx。
如果是双向SSL,用文本编辑器打开Nginx根目录下conf/nginx.conf文件,更新以下内容: 30 中国金融认证中心 CFCA全球信任证书技术手册 server{listen443;server_name127.0.0.1;sslon;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_certificateserver.crt;ssl_certificate_keyserver.key;ssl_client_certificateca.crt;ssl_verify_clienton;ssl_verify_depth2;} 其中:启用SSL功能:sslon禁用SSLv2、SSLv3协议:ssl_protocolsTLSv1TLSv1.1TLSv1.2公钥文件:ssl_certificateserver.crt路径私钥文件:ssl_certificate_keyserver.key路径证书链文件:ssl_client_certificateca.crt路径启用双向SSL:ssl_verify_clienton证书链深度:ssl_verify_depth2如果客户端使用CFCA证书,则该项必须为2上述设置完成过后,重新启动Nginx。
3.6.4Weblogic证书配置 Weblogic使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
打开Weblogic控制台,进入“服务器”。
31 中国金融认证中心 CFCA全球信任证书技术手册 选择部署的服务器。
在“一般信息”中,“启用SSL监听端口”。
在“密钥库”页面,配置服务器证书(server.jks)。
其中: 32 中国金融认证中心 密钥库选择“定制标识和定制信任”;密钥库输入server.jks的路径和密码;信任密钥库输入server.jks的路径和密码;输入完成后,保存。
CFCA全球信任证书技术手册 在“SSL”页签,配置SSL选项。
其中:标识和信任设置,选择“密钥库”;私有密钥输入密钥别名和密码;输入完成后,保存。
33 中国金融认证中心 CFCA全球信任证书技术手册 配置完成后,激活Weblogic更改,重新启动Weblogic服务。
3.6.5IBMHttpServer证书配置 IBMHttpServer使用KDB格式的证书,证书制作方式请参考“3.5使用iKeyman工具制作证书”。
将制作好的kdb、rdb、sth文件放在同一个目录下,而后在httpd.conf文件中配置。
LoadModuleibm_ssl_modulemodules/mod_ibm_ssl.soListen443
34 中国金融认证中心 配置完成后,重启启动IBMHTTPServer。
CFCA全球信任证书技术手册 3.6.6JBoss证书配置 JBoss使用JKS格式的证书,证书制作方式请参考“3.3使用Keytool工具制作证书”。
将服务器证书文件(server.jks),配置在JBoss中。
用文本编辑器打开Jboss安装目录下server/default/deploy/jbossweb.sar目录中的server.xml文件,更新以下内容。
3.6.7IIS证书配置 IIS可以直接使用PFX格式的证书文件,PFX证书制作方式请参考“3.6证书格式转换”。
在运行框中输入MMC,进入管理控制台。
35 中国金融认证中心 CFCA全球信任证书技术手册 添加删除管理单元。
添加证书。
36 中国金融认证中心 CFCA全球信任证书技术手册 选择计算机账户。
添加之后,确定。
37 中国金融认证中心 CFCA全球信任证书技术手册 在受信任的根证书颁发机构中,导入根证书CFCA_GT_CA.cer。
在中级证书颁发机构中,导入中级证书CFCA_OCA2.cer。
38 中国金融认证中心 CFCA全球信任证书技术手册 在个人证书中,导入PFX证书文件。
导入时,选择个人信息交换(PFX、P12)。
39 中国金融认证中心 CFCA全球信任证书技术手册 导入完成。
在IIS管理控制台,选择站点,点击“绑定”。
40 中国金融认证中心 CFCA全球信任证书技术手册 点击“添加”,选择“https”,选择SSL证书,点击确定。
重新启动IIS即可。
41 中国金融认证中心 CFCA全球信任证书技术手册 附录
一、CFCAEV证书申请表 CFCAEV证书申请表 申请日期 证书数量 证书期限□1年□2年 证书证书类型申 □单域名服务器证书□多域名服务器证书□代码签名证书 业务类型□新申请□更新□吊销 请站点认证 信息域名 □站点认证 □服务器证书 (申请服务器证书需填)(申请服务器证书需填) EV代码签名证书模式 □用户提供加密设备□CFCA提供加密设备(申请代码签名证书需填) 机构名称(中文)申请机构证件类型□企业营业执照□组织机构代码证□其它,请注明: 机证件颁发机构 构 信机构证件号码息 联系地址 联系电话邮政编码 姓名负 责电话 人负责人签名 职务电子邮件 姓名经 办人电话
一 经姓名办 人电话
二 人力资源负责人 姓名 职务电子邮件职务电子邮件电话 申请机构 本机构承诺以上信息资料真实、有效。
本机构已认真阅读并同意遵守中金金融认证中心有限公司(CFCA)网站()发布的《数字证书服务协议》、《全球 42 中国金融认证中心 CFCA全球信任证书技术手册 声明 信任体系电子认证业务规则(CPS))》中规定的相关义务。
申请机构盖章 日期 备注 ApplicationDate CertificateType ApplicationType SiteAuth(SSLCertificaterequired)DomainName(SSLCertificaterequired)EVCodeSigndeviceMode(EVCodeSignRequired) CFCAEVCertificateApplicationForm CertificateInformation Unit □EVSSLSingleDomain□EVSSLMultiDomain□EVCodeSign □NewApplication□Renewal Period□Revocation □SiteAuthAddition□OnlySSLcertificate □SubscriberprovideDevice□CFCAprovidedevice □1year□2years CompanyInformation LegalName AbbreviationName IdentityFileName□BusinessLicense□OrganizationcodeCertificate□others,pleasenote: RegistrationAuthorityRegistrationNumberIncorporatingAgency DateofIncorporation Telephone Fax 43 中国金融认证中心Address CFCA全球信任证书技术手册Postcode HigherAuthorityInformation Name Title Telephone E-mail No.1TechnicalcontactInformation Name Title Telephone E-mail No.2TechnicalcontactInformation Name Title Telephone E-mail HRInformation Name ApplicantStatement Telephone mitthattheaboveinformationistrueandeffective.Ihavereadandagreedtotherelatedobligationsofthe"DigitalCertificateServicesAgreement"and"CFCA’sCertificationPracticeStatement(CPS))"publishedonCFCAwebsite(). OrganizationSeal Date Remark 注:
1、申请机构须同时提供机构证件复印件、经办人身份证件复印件、机构授予经办人的授权书原件,以上需加盖公章。
同时需要提供律师函及律师证。
2、经办人需两人,且第一人应为部门领导,第二人可为普通员工,两者之间应有授权关系,订户申请中共需要以下角色:证书负责人,证书申请人,合同签署人,申请代表人(可选,仅适用于申请者是CFCA附属机构或关联方时)这几个角色,需由至少2人担任(可由经办人或者负责人担任),且至少有一人应为部门领导,一个人可以担任多个角色。
3、申请机构在正式申请前须与CFCA技术人员进行充分沟通,确认该证书能够满足本机构需求。
此申请表一经申请机构盖章确认后,就表明其申请的防欺诈全球服务器证书已满足本机构的需求。
44 中国金融认证中心 CFCA全球信任证书技术手册 附录
二、CFCAOV证书申请表 CFCAOV证书申请表 申请日期证书证书类型 证书数量 证书期限□1年□2年□3年 □单域名SSL□多域名SSL□通配符SSL□代码签名证书□时间戳证书 申业务类型 请 □新申请□更新 □吊销 信站点认证服务是否需要站点认证标识□是 □否 息 域名或IP地址(适用于申请SSL证书) (适用于申请SSL证书) 申机构名称 请机机构证件类型□企业营业执照□组织机构代码证□其它,请注明: 构机构证件号码 电话 信 息联系地址 邮政编码 负姓名责人电话 职务电子邮件 姓名经办证件类型人 证件号码 □身份证 □其它,请注明: 职务电话电子邮件 申请机构声明 本机构承诺以上信息资料真实、有效。
本机构已认真阅读并同意遵守中金金融认证中心有限公司(CFCA)网站()发布的《数字证书服务协议》、《全球信任体系电子认证业务规则(CPS))》中规定的相关义务。
申请机构盖章 日期 备注 注:
1、申请机构须同时提供机构证件复印件、经办人身份证件复印件、机构授予经办人的授权 45 中国金融认证中心书原件,以上资料均需加盖公章 CFCA全球信任证书技术手册
2、申请机构在正式申请前须与CFCA技术人员进行充分沟通,确认该证书能够满足本机构需求。
此申请表一经申请机构盖章确认后,就表明其申请的全球服务器证书已满足本机构的需求。
46 中国金融认证中心 CFCA全球信任证书技术手册 附录
三、CFCA全球信任根证书获取方式 WindowsVista、Windows7WindowsVista以及更高版本的操作系统,Windows通过根证书自动更新机 制分发CFCA全球信任根证书。
即,用户访问含有CFCA全球信任证书的网站、读取含有CFCA全球信任证书的安全电子邮件、执行含有CFCA全球信任证书代码签名的ActiveX控件及可执行程序时,Windows证书链验证程序访问Microsoft根证书信任列表,自动下载CFCA全球信任根证书,并将其安装在用户Windows受信任根证书颁发机构存储区。
整个过程自动完成,用户不会看到任何安全性对话框或警告。
有关WindowsVista、Windows7根证书更新的详细技术信息,请访问以下网站: 749331(WS.10).aspx WindowsXPWindowsXP含有更新根证书组件(控制面板——添加或删除程序——添加/ 删除Windows组件),当用户访问含有CFCA全球信任证书的网站、读取含有CFCA全球信任证书的安全电子邮件、执行含有CFCA全球信任证书代码签名的ActiveX控件及可执行程序时,更新根证书组件将联系的微软WindowsUpdate站点检查根证书信任列表,自动下载CFCA全球信任根证书,并将其安装在用户Windows受信任根证书颁发机构存储区。
有关WindowsXP根证书更新的详细技术信息,请访问以下网站: /en-us/library/bb457160.aspx Firefox浏览器CFCAEV根证书已经内置在Firefox浏览器中,包括Windows、Linux、MacOS
X、Andriod等平台。
用户升级到Firefoxv38.0及以上版本,即可获取CFCAEV根证书。
47 中国金融认证中心 CFCA全球信任证书技术手册 附录
四、CFCA全球信任证书链 CFCA全球服务器证书体系如下: 主题:CN=CFCAEVROOTO=ChinaFinancialCertificationAuthorityC=CN 序列号:18d6有效期:2012年8月8日11:07:01——2029年12月31日11:07:01摘要算法:SHA256密钥长度:RSA(4096Bits)-----BEGINCERTIFICATE----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 48 中国金融认证中心 CFCA全球信任证书技术手册 hxwG+3SYIElz8AXSG7Ggo7cbcNOIabla1jj0Ytwli3i/+Oh+uFzJlU9fpy25IGvP a931DfSCt/SyZi4QKPaXWnuWFo8BGS1sbn85WAZkgwGDg8NNkt0yxoekN+kWzqot aK8KgWU6cMGbrU1tVMoqLUuFG7OA5nBFDWteNfB/O7ic5ARwiRIlk9oKmSJgamNg TnYGmE69g60dWIolhdLHZR4tjsbftsbhf4oEIRUpdPA+nJCdDC7xij5aqgwJHsfV PKPtl8MeNPo4+QgO48BdK4PRVmrJtqhUUy54Mmc9gn900PvhtgVguXDbjgv5E1hv cWAQUhC5wUEJ73IfZzF4/5YFjQIDAQABo2MwYTAfBgNVHSMEGDAWgBTj/i39KNAL tbq2osS/BqoFjJP7LzAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjAd BgNVHQ4EFgQU4/4t/SjQC7W6tqLEvwaqBYyT+y8wDQYJKoZIhvcNAQELBQADggIB ACXGumvrh8vegjmWPfBEp2uEcwPenStPuiB/vHiyz5ewG5zz13ku9Ui20vsXiObT ej/tUxPQ4i9qecsAIyjmHjdXNYmEwnZPNDatZ8POQQaIxffu2Bq41gt/UP+TqhdL jOztUmCypAbqTuv0axn96/Ua4CUqmtzHQTb3yHQFhDmVOdYLO6Qn+gjYXB74BGBS ESgoA//vU2YApUo0FmZ8/Qmkrp5nGm9BC2sGE5uPhnEFtC+NiWYzKXZUmhH4J/qy P5Hgzg0b8zAarb8iXRvTvyUFTeGSGn+ZnzxEk8rUQElsgIfXBDrDMlI1Dlb4pd19 xIsNER9Tyx6yF7Zod1rg1MvIB671Oi6ON7fQAUtDKXeMOZePglr4UeWJoBjnaH9d Ci77o0cOPaYjesYBx4/IXr9tgFa+iiS6M+qf4TIRnvHST4D2G0CvOJ4RUHlzEhLN 5mydLIhyPDCBBpEi6lmt2hkuIsKNuYyH4Ga8cyNfIWRjgEj1oDwYPZTISEEdQLpe /v5WOaHIz16eGWRGENoXkbcFgKyLmZJ956LYBws2J+dIeWCKw9cTXPhyQN9Ky8+
Z AAoACxGV2lZFA4gKn2fQ1XmxqI1AbQ3CekD6819kR5LLU7m7Wc5P/dAVUwHY3+vZ 5nbv0CO7O6l5s9UCKc2Jo5YPSjXnTkLAdc0Hz+Ys63su -----ENDCERTIFICATE----- 主题:CN=CFCAEVOCAO=ChinaFinancialCertificationAuthorityC=CN 序列号:00b4cf943266有效期:2012年8月8日14:06:31——2029年12月29日14:06:31摘要算法:SHA256密钥长度:RSA(2048Bits)-----BEGINCERTIFICATE----- 49 中国金融认证中心 CFCA全球信任证书技术手册 MIIFTjCCAzagAwIBAgIGALTPlDJmMA0GCSqGSIb3DQEBCwUAMFYxCzAJBgNVBAYT AkNOMTAwLgYDVQQKDCdDaGluYSBGaW5hbmNpYWwgQ2VydGlmaWNhdGlvbiBBdXRo b3JpdHkxFTATBgNVBAMMDENGQ0EgRVYgUk9PVDAeFw0xMjA4MDgwNjA2MzFaFw0y OTEyMjkwNjA2MzFaMFUxCzAJBgNVBAYTAkNOMTAwLgYDVQQKDCdDaGluYSBGaW5h bmNpYWwgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkxFDASBgNVBAMMC0NGQ0EgRVYg T0NBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA02OMsGFxFQIPMKVP oRaO9rHNX41xbq8jhnbdK0MDVbxfGa3b8QTKxMcmxlRlULfsaie0cIlaRl0AUcJP QH9ftekzh4T287xqsEAydYQHf77arWQ5nY3fR9RcoBq9pTCQbqw49S6/jHA5oPQa EoKbF0G8zfVKp5PrcKSufHMQyKo/Ez2UYT+gut36j4GYpAABuV6PbusPpjufsN9B r9+xqgyz8ubSp1Wl1qSlvQUQBhAJAH+a3NMhD0illaGfTdWbF485a5NilMFGqJBa /kLVEYwG4aoKdV9vG/NFS0LKz3QVnB7bkrLjTkuGN/zQJP0daJ3CGAzmN+Cr2ujt XOfAYwIDAQABo4IBITCCAR0wOAYIKwYBBQUHAQEELDAqMCgGCCsGAQUFBzABhhxo dHRwOi8vb2NzcC5jZmNhLmNvbS5jbi9vY3NwMB8GA1UdIwQYMBaAFOP+Lf0o0Au1 uraixL8GqgWMk/svMA8GA1UdEwEB/wQFMAMBAf8wRAYDVR0gBD0wOzA5BgRVHSAA MDEwLwYIKwYBBQUHAgEWI2h0dHA6Ly93d3cuY2ZjYS5jb20uY24vdXMvdXMtMTIu aHRtMDoGA1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwuY2ZjYS5jb20uY24vZXZy Y2EvUlNBL2NybDEuY3JsMA4GA1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQUVQji3MyV bR9d3rNH6OkWxsBFd8QwDQYJKoZIhvcNAQELBQADggIBAMmFEIoCE9UNmb2BYYhT RV12kNVucP6t683BaFTgJizIJw/ebvvTdWNTycyP5MQFlHKrIYwjvFO9Rfw8+yIs sT3JFYiqsLBswvaMr3AIuA2mTnmasvZFe6P19qitzTRkz+TL6TFailrtnzudsvn2 SeVbRiX+6CsyNNMoPsRHTeZAEpkB7J3vh+ZAiv3gsIXtjtz5Y1iWWRZipemJ/qEf W2hDONB+T6lGcEXHDi9dIkWcC/jFT4XPM64pagAz9gEGZg1PzFBE8QMxiwaDAOea G0l0e/HW4wJlo4ZzOELqZGJLlYhQ8AkBYR95NEtR9j5bWK98Lznykldk2MDLBD2m rIfMkVjMwEj4A8ElMXsLnWXXg41NN6gjUm2/IudKOaGqniPs5SZrN36O4B3NzsaZ dLznHH5H0+aksurjgme8RAG0A2OAnRG3VXBWrxud7t0KDINLs+mxY7IR+xVZ2cw6 Cer8HnAVfKPJrbdq7vyJJkIpCll+mLHaGgvv3IqiU4rrrllE3NYjKG4Fk2MiYvZg 10KXA8tlYsLt8I/RcNmC2TvjZHYVE3tanbGw53TRGFk2Vq68XOkvooOardihwRkg qcOgUvouORuvSqTlkQizTFH6FTUt3xuuED4dnn5N/1ijcDt0N3l5ovoyHOVcYiO4 drCN96LHiUoiSfYODmpXG2tl 50 中国金融认证中心 -----ENDCERTIFICATE----- CFCA全球信任证书技术手册 主题:CN=CFCAOVOCAO=ChinaFinancialCertificationAuthorityC=CN 序列号:00f9df6adff564bea68b82有效期:2015年3月25日10:02:56——2029年12月25日10:02:56摘要算法:SHA256密钥长度:RSA(2048Bits)-----BEGINCERTIFICATE----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 51 中国金融认证中心 CFCA全球信任证书技术手册 OSg3UovOoc7/xz2mE+enyEcSwn/0QrL8C5DSA6nMvBMrCWEytYPofGQUXTwtlu78 GLxYNn3A/RtzczJ+/BXIhoe3aOT4tQ+2s9vrFRfIXs4CkmqHhfYSvArokdayYmBd 78psIwS5LCUzGKSn7y8UmAgoxiy7RtrVt5c1wvJyeuYk1Z1l8MN1szPrmAb4HS/D qnB+0qdhFGvfOyv7lg6/wlIAkN84cHlKNC3JvyFHaCIAyhTPgjUayUvBKFK7XwN9 utIXl2L3IZX7zfxGS/J9+ZeNwyblQKmd/MKydJu9Ak6+ZMLLgjlCFkihJIn9Ur8M 2KQigz7YPDVIJjOtS7ljOQVGh88LPUnQ1fBY7RwagficS/xclIOnaXhoyWzg7EcQ /T1/O4FkpMqKuOreaI5NExjAT8cKizyY2wcOOXKIYri3Ewnbm+00IaYYaiQRGUR6 pzFFKxdFMbStCtI4ObN+BCW4vz3sAJd/OgmLF38XTa+/km3c1nQOfhCGs 6kx2heN/DgFAc+P7ldObo/kgGQtR6tr02gyXCFWnLMtT0+CoNOY0o3T+LbEqYeKL W7p29G9sgHgoqLFibWNMSKG1QvevkhjUMOD/g48f/nMSYsbU++yEaLvjvRHbb5ON IPkcE28TRhQQKmDKI+DRIg== -----ENDCERTIFICATE----- 52 中国金融认证中心 CFCA全球信任证书技术手册 附录
五、SHA摘要算法介绍 安全哈希算法(SecureHashAlgorithm)主要适用于数字签名标准(DigitalSignatureStandardDSS)里面定义的数字签名算法(DigitalSignatureAlgorithmDSA)。
对于长度小于2^64位的消息,产生一个消息摘要。
消息摘要可以用来验证数据的完整性。
SHA家族的五个算法,分别是SHA-
1、SHA-224、SHA-256、SHA-384,和SHA-512,后四者并称为SHA-
2。
支持SHA2的操作系统包括:Windows8.1、Windows8、Windows7、WindowsServer2012R2、WindowsServer2012、WindowsServer2008R2、WindowsServer2008、WindowsVista、WindowsServer2003R2、Windows2003ServerSP2、32位WindowsXPSP3、64位WindowsXPSP2。
由于SHA1摘要算法存在杂凑冲撞攻击,随着计算机运算能力越来越强,其安全性受到越来越严重的威胁。
微软、谷歌等陆续发布了弃用SHA1摘要算法的时间表。
微软方面,要求CA机构2016年之后不能再签发新的SHA1摘要算法的SSL站点证书。
2017年之后,WindowsVista、WindowsServer2008及以上版本操作系统将无法访问SHA1摘要算法SSL证书的网站。
谷歌方面,Chrome浏览器将对SHA1摘要算法SSL证书的站点提示安全警告。
53 中国金融认证中心 附录
六、常见问题 CFCA全球信任证书技术手册
1、CFCA全球信任SSL证书支持的操作系统和浏览器 Windows平台浏览器100%支持,包括但不限于:Explorer、Google Chrome、MozillaFirefox、Opera,以及360、搜狗、遨游、QQ、UC、猎豹、百度 等国产浏览器; WindowsMobile平台浏览器100%支持; Linux平台浏览器100%支持; MacOS平台支持MozillaFirefox浏览器; Andriod(Android6.0Marshmallow)平台浏览器100%支持。
浏览器操作系统 Explorer MozillaFirefox GoogleChrome Safari Windows √ √ √ —— Unix/Linux —— √ √ —— MacOS —— √ × × iOS —— —— × × Andriod6.0 —— √ Marshmallow √ —— Windows √ √ √ —— Mobile √:表示该浏览器完全支持CFCA全球信任SSL证书; ×;表示该浏览器不完全支持CFCA全球信任SSL证书,当浏览器访问含有 CFCA全球信任SSL证书的网站时,会有站点证书不受信任的提示; ——:表示该浏览器不支持该操作系统。
2、WindowsXPSP2操作系统使用CFCAEVSSL证书 CFCAEVSSL证书采用SHA256摘要算法,而WindowsXPSP2操作系统并不 54 中国金融认证中心 CFCA全球信任证书技术手册 支持该算法。
在WindowsXPSP2操作系统中,使用IE浏览器无法访问含有CFCA EVSSL证书的网站(包括使用其他CA机构SHA256摘要算法SSL证书的网站)。
可以将操作系统升级到WindowsXPSP3及以上版本,即可正常访问。
此外,火狐(Firefox)、谷歌(Chrome)等浏览器不依赖操作系统,浏览器 本身支持SHA256摘要算法。
因而可以在WindowsXPSP2操作系统上使用这些浏 览器访问含有CFCAEVSSL证书的网站。
3、通过HTTPS访问,页面弹出警告“是否只查看安全传送的网页内容” 当网页包括经加密传送的HTTPS内容和未经加密传送的HTTP内容时,IE会弹出警告询问用户是否允许接受未经加密的内容。
可以在“工具”——“选项”——“安全”——“自定义级别”——“显示混合内容”设置为“启用”,即可不再弹出该提示。
一般来说,当HTTPS页面引用外部HTTP链接时,会提示此内容不安全。
可以通过Firefox的Web控制台,或者Chrome的JavaScript控制台查看到具体的报错代码行,并可以参考相关提示修改页面代码。
4、Chrome、Firefox提示“SSL收到了一个弱临时Diffie-Hellman密钥” 55 中国金融认证中心 CFCA全球信任证书技术手册 Chrome、Firefox等最新版本的浏览器,对客户端浏览器和网站服务器之间的密钥算法有较高要求,不允许客户端浏览器和网站服务器之间使用相对较弱的密钥算法。
该问题需要调整Web应用服务器的相关配置,限定客户端浏览器和网站服务器之间使用较高强度的密钥。
常用的Web应用服务器配置密钥算法的方式如下:Apache:在httpd-ssl.conf配置文件中增加如下内容:SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!
aNULL:!
eNULL:!
EXPORT:!
DES:!
RC4:!
MD5:!
PSK:!
aECDH:!
EDH-DSS-DES-CBC3-SHA:!
EDH-RSA-DES-CBC3-SHA:!
KRB5-DES-CBC3-SHA Nginx: 56 中国金融认证中心 CFCA全球信任证书技术手册 在conf/nginx.conf配置文件中增加如下内容: SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-
A ES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SH A256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:EC DHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:EC DHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-
A ES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SH A:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES 128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!
aNULL:!
eNULL:!
EXPORT:!
DES:!
R C4:!
MD5:!
PSK:!
aECDH:!
EDH-DSS-DES-CBC3-SHA:!
EDH-RSA-DES-CBC3-SHA:!
KRB5-DES -CBC3-SHA Tomcat:在conf/server.xml配置文件中增加如下内容:
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
