signed

QiShunwang

“诚信为本、客户至上”

国密数字证书离线申请流程-国密数字信封解析

2021/4/26 17:24:29   来源:

国密数字证书离线申请流程-国密数字信封解析

背景

  • 我们设备本身已经集成了自建CA服务器,并且支持国密/商密,但在实际上线使用过程中发现虽然大多数局点都是仅仅使用国密功能,主要涉及国密证书生成,国密sslvpn,国密ipsec.但是一些银行政府,会有自己的国密自建CA,或是会花钱向正规CA机构申请,尤其是在过密评,国密认证的时候,都会涉及到生成离线申请信息,然后向CA服务器申请证书.这时候就需要考虑数字证书离线申请流程以及国密数字信封解析.

数字证书离线申请流程(以国密为例)

1.设备配置证书信息,包括通用名,ip地址,国家,城市,机构,证书类型等.
2.生成离线申请信息,包括生成秘钥对,私钥加密本地保存,公钥与配置的证书信息一起生成离线申请信息,格式形如:
在这里插入图片描述
3.将离线申请信息发送给CA服务器.CA服务器返回的文件列表大概如下.
在这里插入图片描述
除sign.key为生成离线申请信息时生成并存储在本地,其余四个文件均为国密CA服务器返回.其中:
JXCA_TEST.cer:CA证书,负责签发证书
sign.p7b,encrypt.p7b:签名证书,加密证书
pricate.data:加密证书私钥的数字信封.
接下来的工作主要为解析私钥数字信封.

国密数字信封解析

(未完待续)