背景

     通常的证书申请需要几步:

  1. 生成csr与key;

  2. 提交给ca;

  3. 收到证书。

     每个过程独立开,这就要求申请人妥善保管key;申请时候换人交接也会给新的交接人不明所以。这就产生了这样一个需求,申请简单,维护简单的证书管理服务。于是这个mpki系统应运而生。且是提供web服务,只要有网络即可使用。

Mpki的入口:https://mpki.trustasia.com 

注册

     注册很简单,按照信息指引即可完成。图1为注册页面:

图1

申请试用证书

     进入申请项,见图2

图2

  • 基本信息填写,见图3

  • 证书有效期:目前试用的有效期为一个月,后续可能有不同时长的试用。

  • CSR生成方式:在线生成CSR是有mpki系统来维护私钥key,粘帖CSR则是私钥key需要自行维护的用户的选择。

  • 加密算法:试用只能选择RSA

  • 加密强度:目前提供RSA的2048位或者4096位,一般使用2048位,安全性够,演算耗时少。

  • 订单密码:每个订单可以设置一个新的密码,证书成功申请后,需要通过这个密码来获取证书。(重要)

  • 通用名/域名:申请的域名,注意是试用只能申请完全限定域名,也就是只能为当千域名所使用,无法为不同子域名使用。

  • 域名验证:这个是验证申请人身份用,说白了就是为了看这个域名是不是你的。有3种不同的验证法,任意一种符合就可以申请下来。

  1. 邮箱验证:选择一个邮箱来接受系统的域名确认邮件,打开邮件后,会有一个确认的url链接,打开后,点击批准后,10分钟左右就可以颁发证书。当然最复杂的是系统会按照内置的规则生成一组邮件列表,当然这些列表可能都不是可用邮箱,需要你去创建一个列表中存在的邮箱来接受域名确认邮件(说白话,系统说既然你是管理员,没邮箱地址怕什么,你去建一个,你能建,就验证了你身份),见图4;它的存在的规则是这样的

  • whois中的邮箱

  • admin@完全限定域名  如:申请test.abc.com 则生成admin@test.abc.com

  • administrator@完全限定域名

  • postmaster@完全限定域名

  • webmaster@完全限定域名

  • hostmaster@完全限定域名

  • admin@顶级域名  如: 申请 test.abc.com 则生成 admin@abc.com

  • administrator@顶级域名

  • postmaster@顶级域名

  • webmaster@顶级域名

  • hostmaster@顶级域名 

图3

图4

  1. DNS验证:系统会生成一个cname名和cname值,拿到这两个字符串后,到DNS账户里添加。如图5示:

图5

 

  1. 文件验证:系统给出文件名和文件内容。拿到后,新建一个txt文本文档,文件名和内容(注意有换行)按照提示的设置。最后保证根目录下可以直接访问。如:http://www.trustasia.com/16BFC62AD3F0475788891EDC5A947D9C.txt 点击后,能显示内容,注意这里是要80端口。

图6

 

三种方式任意一种能够验证就可申请证书了。

 

 

下载证书

到订单里操作选项里下载证书,图7

图7

输入订单密码后,新设置一个证书密码(根据证书格式,这个密码代码不同意思),选择使用的设备对应的格式。见图8,9

图8

图9

确认提交后,浏览器就可以获取到证书。