下载证书分发给用户安装使用。
在顶部导航栏选择[产品与服务]-[证书服务]-[证书管理],进入“证书管理”页面。
单击目标证书操作栏的
下载,弹出“下载证书”对话框。不同密钥算法的证书下载方式及文件格式如下:
- 使用RSA和ECC密钥算法的证书:选择服务器类型,单击
下载完成操作。 - 使用国密算法的证书:直接单击
下载完成操作。国密证书目前仅支持下载通用格式的证书文件,包含签名证书和加密证书双证书,详细说明见下方表格。
- 使用RSA和ECC密钥算法的证书:选择服务器类型,单击
使用RSA和ECC密钥算法的证书文件说明:
| 证书类型 | 服务器类型 | 证书压缩包中的文件 | 文件说明 |
|---|---|---|---|
| 服务端证书 | Tomcat | server.jks | Java KeyStore格式的证书文件。 |
| keystorePass.txt | 加密证书的密码。 | ||
| Nginx | server.crt | 证书文件。 | |
| server.key | 证书对应的私钥文件。 | ||
| chain.crt | 该证书的签发CA到根CA的CA证书链文件。 | ||
| Apache | server.crt | 证书文件。 | |
| server.key | 证书对应的私钥文件。 | ||
| chain.crt | 该证书的签发CA到根CA的CA证书链文件。 | ||
| IIS | server.pfx | PKCS#12格式的证书文件。 | |
| keystorePass.txt | 加密证书的密码。 | ||
| 其他 | server.pem | 证书文件。 | |
| server.key | 证书对应的私钥文件。 | ||
| chain.pem | 该证书的签发CA到根CA的CA证书链文件。 | ||
| 客户端证书 | Tomcat | client.crt | 证书文件,按需配置到客户端中即可。 |
| client.key | 证书对应的私钥文件,按需配置到客户端中即可。 | ||
| client.pfx | 证书和私钥合并后的PKCS#12证书文件(证书未加密),按需配置到客户端中即可。使用合并的证书文件与使用单独的证书&私钥文件两种方式二选一即可。 | ||
| client- ca.truststore | 证书签发CA的Truststore文件,需配置到Tomcat服务配置文件中的 truststoreFile 处。 | ||
| keystorePass.txt | 加密client-ca.truststore文件的密码,需配置到Tomcat服务配置文件中的 truststorePass 处。 | ||
| Nginx | client.crt | 证书文件,按需配置到客户端中即可。 | |
| client.key | 证书对应的私钥文件,按需配置到客户端中即可。 | ||
| client.pfx | 证书和私钥合并后的PKCS#12证书文件(证书未加密),按需配置到客户端中即可。使用合并的证书文件与使用单独的证书&私钥文件两种方式二选一即可。 | ||
| client-ca.pem | 证书的签发CA到根CA的CA证书链文件,需配置到Nginx服务配置文件中 ssl_client_certificate 处,并开启 ssl_verify_client on 配置。 | ||
| Apache | client.crt | 证书文件,按需配置到客户端中即可。 | |
| client.key | 证书对应的私钥文件,按需配置到客户端中即可。 | ||
| client.pfx | 证书和私钥合并后的PKCS#12证书文件(证书未加密),按需配置到客户端中即可。使用合并的证书文件与使用单独的证书&私钥文件两种方式二选一即可。 | ||
| client-ca.pem | 证书的签发CA到根CA的CA证书链文件,需配置到Apache Httpd服务配置文件中 SSLCACertificateFile 处,并开启 SSLVerifyClient require 配置。 | ||
| IIS | client.crt | 证书文件,按需配置到客户端中即可。 | |
| client.key | 证书对应的私钥文件,按需配置到客户端中即可。 | ||
| client.pfx | 证书和私钥合并后的PKCS#12证书文件(证书未加密),按需配置到客户端中即可。使用合并的证书文件与使用单独的证书&私钥文件两种方式二选一即可。 | ||
| client-ca.pem | 证书的签发CA到根CA的CA证书链文件,需将证书链文件中的每一个证书导入到部署IIS服务的Windows系统的“受信任的证书颁发机构”当中。 | ||
| 其他 | client.crt | 证书文件,按需配置到客户端中即可。 | |
| client.key | 证书对应的私钥文件,按需配置到客户端中即可。 | ||
| client.pfx | 证书和私钥合并后的PKCS#12证书文件(证书未加密),按需配置到客户端中即可。使用合并的证书文件与使用单独的证书&私钥文件两种方式二选一即可。 | ||
| client-ca.pem | 证书的签发CA到根CA的CA证书链文件,需配置到指定服务的客户端证书认证配置项中。 |
使用国密密钥算法的证书文件说明:
| 证书类型 | 证书压缩包中的文件 | 文件说明 |
|---|---|---|
| 服务端证书 | server_sig_cert.pem | 签名证书 |
| server_sig_key.pem | 签名证书对应的私钥文件 | |
| server_enc_cert.pem | 加密证书 | |
| server_enc_key.pem | 加密证书对应的私钥文件 | |
| chain.pem | 证书的签发CA到根CA的CA证书链文件 | |
| 客户端证书 | client_sig_cert.pem | 签名证书 |
| client_sig_key.pem | 签名证书对应的私钥文件 | |
| client_enc_cert.pem | 加密证书 | |
| client_enc_key.pem | 加密证书对应的私钥文件 | |
| chain.pem | 证书的签发CA到根CA的CA证书链文件 |
