在数字签名证书的订购到安装过程中,CA为了保证证书订购到交付过程的安全,往往借助操作系统、浏览器、USB-Token等媒介进行管理,对于EV扩展型代码签名证书标配USB-Token物理介质进行交付,标准代码签名、邮件签名、文档签名均采用浏览器方式进行管理。
在数字签名证书的订购到安装过程中,CA为了保证证书订购到交付过程的安全,往往借助操作系统、浏览器、USB-Token等媒介进行管理,对于EV扩展型代码签名证书标配USB-Token物理介质进行交付,标准代码签名、邮件签名、文档签名均采用浏览器方式进行管理。
对于常规签名,用户在配置证书时则要选择一款浏览器,用于配置证书时在浏览器中创建CSR证书请求文件、KEY私钥(即存储在浏览器中),以操作系统区分,在MacOS或Linux类操作系统中需要使用Firefox进行管理,在Windows操作系统中需要使用Internet Explorer进行管理。本文以Windows操作为例。
1. 配置证书
在INFINISIGN订购成功的证书会收到一个URL长链接,选定操作系统和浏览器之后,打开此配置链接,并选择“使用浏览器自动创建CSR证书请求文件”或“使用自定义CSR证书请求文件”。
- 使用浏览器器自动创建CSR:用户使用系统浏览器的表单填写基本信息后,由浏览器创建CSR、KEY提交至CA,在提取证书时使用该浏览器进行提取,浏览器自动将证书和KEY合并创建PFX/P12证书
- 使用自定义CSR证书:用户使用OpenSSL之类的工具创建的CSR、KEY提交至CA,在提取证书时需要手动将提取的证书和KEY进行合并输出PFX/P12证书文件;
需要注意的是:提交完配置请求后,浏览器创建了相应的CSR证书请求文件、KEY私钥,也就意味着在提取证书环节要在这台设备上的Internet Explorer浏览器中进行。
2. 提取证书
使用配置证书时操作系统的IE浏览器打开“提取链接”(通常是一个独一无二的长链,或邮件中的“click here”),并注意到提取证书需要填写“提取码”或“邮箱、订单号”等信息,不同的CA要求不同。
2.1 提取入口
以Sectigo产品为例,点击下图中的“Click Here to Verify your Application”即可前往提取证书。
2.2 输入提取码
在下图Enter your Collection Code中输入提取码,点击“COLLECT CERTIFICATE”进行提取
之后浏览器会提示要在IE中安装证书,如下图,点击“是”完成证书提取
3. 导出证书
在完成提取证书后,通常会在浏览器中提示“完成”、“Successfull”,那么我们就可以在浏览器的证书管理中进行证书的备份或导出。
3.1 证书存储位置
IE浏览器中存储的证书为提取证书的临时存储位置,打开IE浏览器的“Internet选项”,点击“内容”选项卡中的“证书”,即可进入IE的证书管理界面
3.2 导出备份证书
此时我们只要选中该证书,点击“导出”即可导出p12/pfx格式的证书。
和Windows导出pfx证书一样,选择导出文件夹后(p12等同于pfx),需要输入“备份密码”,输入一个高强度的备份密码并牢记,这样就完成了代码签名证书的提取。
这个密码等同于IIS/Windows中导出pfx证书时的备份密码,总之对于含有私钥的“个人信息交换密钥证书” PKCS #12(.pfx, .p12)的备份密码都是一个概念。
如果使用代码签名应用程序进行签名,需将p12后缀名修改为pfx后缀名,使用Windows官方SignTool则不用,详情参考:EV代码签名证书签名Windows软件