在数字签名证书的订购到安装过程中，CA为了保证证书订购到交付过程的安全，往往借助操作系统、浏览器、USB-Token等媒介进行管理，对于EV扩展型代码签名证书标配USB-Token物理介质进行交付，标准代码签名、邮件签名、文档签名均采用浏览器方式进行管理。

对于常规签名，用户在配置证书时则要选择一款浏览器，用于配置证书时在浏览器中创建CSR证书请求文件、KEY私钥（即存储在浏览器中），以操作系统区分，在MacOS或Linux类操作系统中需要使用Firefox进行管理，在Windows操作系统中需要使用Internet Explorer进行管理。本文以Windows操作为例。

1. 配置证书

在INFINISIGN订购成功的证书会收到一个URL长链接，选定操作系统和浏览器之后，打开此配置链接，并选择“使用浏览器自动创建CSR证书请求文件”或“使用自定义CSR证书请求文件”。

• 使用浏览器器自动创建CSR：用户使用系统浏览器的表单填写基本信息后，由浏览器创建CSR、KEY提交至CA，在提取证书时使用该浏览器进行提取，浏览器自动将证书和KEY合并创建PFX/P12证书
• 使用自定义CSR证书：用户使用OpenSSL之类的工具创建的CSR、KEY提交至CA，在提取证书时需要手动将提取的证书和KEY进行合并输出PFX/P12证书文件；

需要注意的是：提交完配置请求后，浏览器创建了相应的CSR证书请求文件、KEY私钥，也就意味着在提取证书环节要在这台设备上的Internet Explorer浏览器中进行。

2. 提取证书

使用配置证书时操作系统的IE浏览器打开“提取链接”（通常是一个独一无二的长链，或邮件中的“click here”），并注意到提取证书需要填写“提取码”或“邮箱、订单号”等信息，不同的CA要求不同。

2.1 提取入口

以Sectigo产品为例，点击下图中的“Click Here to Verify your Application”即可前往提取证书。

2.2 输入提取码

在下图Enter your Collection Code中输入提取码，点击“COLLECT CERTIFICATE”进行提取

之后浏览器会提示要在IE中安装证书，如下图，点击“是”完成证书提取

3. 导出证书

在完成提取证书后，通常会在浏览器中提示“完成”、“Successfull”，那么我们就可以在浏览器的证书管理中进行证书的备份或导出。

3.1 证书存储位置

IE浏览器中存储的证书为提取证书的临时存储位置，打开IE浏览器的“Internet选项”，点击“内容”选项卡中的“证书”，即可进入IE的证书管理界面

3.2 导出备份证书

此时我们只要选中该证书，点击“导出”即可导出p12/pfx格式的证书。

和Windows导出pfx证书一样，选择导出文件夹后（p12等同于pfx），需要输入“备份密码”，输入一个高强度的备份密码并牢记，这样就完成了代码签名证书的提取。

这个密码等同于IIS/Windows中导出pfx证书时的备份密码，总之对于含有私钥的“个人信息交换密钥证书” PKCS #12(.pfx, .p12)的备份密码都是一个概念。

如果使用代码签名应用程序进行签名，需将p12后缀名修改为pfx后缀名，使用Windows官方SignTool则不用，详情参考：EV代码签名证书签名Windows软件