CFCA服务器证书下载及集成

一、CFCA证书的集成需要以下文件

oca.cer（由CFCA提供，CFCA提供证书文件.rar压缩包中）

rca.cer（由CFCA提供）

trust.jks（由CFCA提供）

server.jks（由jdk\bin下的keytool命令1生成，最后由命令3、4、5合并生成）

server.req（由jdk\bin下的keytool命令2生成，内容即是PKCS#10申请书内容）server.cer（由参考号、授权码、PKCS#10申请书内容在“Web服务器证书下载”页面下载后所得内容另存而得）

cacerts（原文件位于jdk\jre\lib\security\cacerts，根据jdk版本不同提交给CFCA修改后替换原文件）

二、执行keytool命令1、命令2，分别生成server.jks及server.req（PKCS#10申请书）

1、keytool命令1，生成server.jks（keystore文件）

keytool -genkey -alias server -keyalg RSA -keysize 1024 -keypass 11111111 -storepass 11111111 -dname "cn=202.22.248.22,ou=Web Servers,ou=Local RA,o=CFCA Operation CA2,c=CN"

-keystore d:\server.jks

2、keytool命令2，生成server.req（P10请求）

keytool -certreq -alias server -sigalg "MD5withRSA" -file d:\server.req -keypass 11111111

-keystore d:\server.jks -storepass 11111111

三、Web Servers证书下载

1、→首页“生产系统证书下载”→“证书下载”→“Web服务器证书下载”（或直接进入/tongyi/下载）

2、在“CFCA数字证书服务协议”页面“接受此协议”后，出现如下页面：

“用户参考号”由CFCA提供

“用户授权码”由CFCA提供

“选项”默认

“PKCS#10申请书”，复制第二步中keytool命令2的生成server.req文件内容

3、以上三项目内容填写正确后即生成证书内容，将内容保存为证书文件server.cer

四、执行以下keytool命令3、4、5分别将根证书oca.cer、rca.cer及服务器证书server.cer 导入到server.jks文件

keytool -import -v -trustcacerts -storepass 11111111 -alias cfcarca -file d:\rca.cer -keystore

d:\server.jks

keytool -import -v -trustcacerts -storepass 11111111 -alias cfcaoca -file d:\oca.cer -keystore

d:\server.jks

keytool -import -v -trustcacerts -storepass 11111111 -alias server -file d:\server.cer -keystore

d:\server.jks

用下面的命令可以查看证书

keytool -list -v -alias server -storepass 11111111 -keystore d:\server.jks

五、下载用户客户端登录USB Key证书

申请后首先会从CFCA拿到USB Key介质（根据不同品牌安装不同的管理工具软件），按照CFCA提供的相关文档到网站上把相应的证书导入到介质中即可（参见《CFCA客户端证书下载操作流程（客户在CFCA网站操作）.doc》）

六、服务器证书集成

1、把server.jks和trust.jks文件放到服务器上指定目录，例如D盘根目录

2、修改tomcat\conf\server.xml文件

SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="d:\server.jks" keystorePass="11111111"

truststoreFile="d:\trust.jks" truststorePass="11111111"/>

3、替换jdk\jre\lib\security\cacerts文件

4、修改后用户访问应用的登录地址可用https//ip:8443/mbs

七、用户证书集成

1、修改WEB-INF\classes\config\system\config.properties文件，如下：

sysinfo.ca.isuse=true；

sysinfo.CA.Verify_Flag=2

2、获取序列号，如下图相应证书中的主题信息拷贝出来，并且把每行的换行去掉并替换为“,”，即CN = 041@8112233@www@00000001,OU = Enterprises,OU = SGCC,O = CFCA TEST CA,C = CN

3、在应用系统中的创建用户处做如下修改：

a. 是否启用CA选择是；

b. 序列号字段中填入上面调整后的序列号；

c. 也可直接修改数据库中SM_USER表中的CERT_YN字段设置为Y，CERT_SERIALNO 字段填入第2步修改后序列号

4、证书集成后用户必须使用CA证书方可登录系统

以下为服务器证书下载所需的相关信息（由CFCA提供）：

证书信息：

1、证书有效期14天

2、证书DN: cn=202.22.248.22,ou=Web Servers,ou=Local RA,o=CFCA Operation CA2,c=cn

3、证书参考号: 7b283fca7cef91d214db15f04e6418a8

4、证书授权码: a2fb6df933255114508c2323cf1c2aa9