mpki申请试用证书

背景

     通常的证书申请需要几步：

1. 生成csr与key；

2. 提交给ca；

3. 收到证书。

     每个过程独立开，这就要求申请人妥善保管key；申请时候换人交接也会给新的交接人不明所以。这就产生了这样一个需求，申请简单，维护简单的证书管理服务。于是这个mpki系统应运而生。且是提供web服务，只要有网络即可使用。

Mpki的入口：https://mpki.trustasia.com 

注册

     注册很简单，按照信息指引即可完成。图1为注册页面：

图1

申请试用证书

     进入申请项，见图2

图2

• 基本信息填写，见图3

• 证书有效期：目前试用的有效期为一个月，后续可能有不同时长的试用。

• CSR生成方式：在线生成CSR是有mpki系统来维护私钥key，粘帖CSR则是私钥key需要自行维护的用户的选择。

• 加密算法：试用只能选择RSA

• 加密强度：目前提供RSA的2048位或者4096位，一般使用2048位，安全性够，演算耗时少。

• 订单密码：每个订单可以设置一个新的密码，证书成功申请后，需要通过这个密码来获取证书。(重要)

• 通用名/域名：申请的域名，注意是试用只能申请完全限定域名，也就是只能为当千域名所使用，无法为不同子域名使用。

• 域名验证：这个是验证申请人身份用，说白了就是为了看这个域名是不是你的。有3种不同的验证法，任意一种符合就可以申请下来。

1. 邮箱验证：选择一个邮箱来接受系统的域名确认邮件，打开邮件后，会有一个确认的url链接，打开后，点击批准后，10分钟左右就可以颁发证书。当然最复杂的是系统会按照内置的规则生成一组邮件列表，当然这些列表可能都不是可用邮箱，需要你去创建一个列表中存在的邮箱来接受域名确认邮件（说白话，系统说既然你是管理员，没邮箱地址怕什么，你去建一个，你能建，就验证了你身份），见图4；它的存在的规则是这样的

• whois中的邮箱

• admin@完全限定域名  如：申请test.abc.com 则生成admin@test.abc.com

• administrator@完全限定域名

• postmaster@完全限定域名

• webmaster@完全限定域名

• hostmaster@完全限定域名

• admin@顶级域名  如: 申请 test.abc.com 则生成 admin@abc.com

• administrator@顶级域名

• postmaster@顶级域名

• webmaster@顶级域名

• hostmaster@顶级域名 

图3

图4

1. DNS验证：系统会生成一个cname名和cname值，拿到这两个字符串后，到DNS账户里添加。如图5示：

图5

1. 文件验证：系统给出文件名和文件内容。拿到后，新建一个txt文本文档，文件名和内容（注意有换行）按照提示的设置。最后保证根目录下可以直接访问。如：http：//www.trustasia.com/16BFC62AD3F0475788891EDC5A947D9C.txt 点击后，能显示内容，注意这里是要80端口。

图6

三种方式任意一种能够验证就可申请证书了。

下载证书

到订单里操作选项里下载证书，图7

图7

输入订单密码后，新设置一个证书密码（根据证书格式，这个密码代码不同意思），选择使用的设备对应的格式。见图8，9

图8

图9

确认提交后，浏览器就可以获取到证书。