您可以根据需要生成RSA算法、SM2算法、ECC算法服务器的证书申请文件并签发证书。在试用阶段建议采用自签发证书,生产阶段建议从CA中心签发合格的服务器证书,或者通过阿里云证书服务去签发证书。

RSA算法服务端证书(单证)申请和签发

  1. 生成证书申请文件。
    • 方式一:通过EVSM的管理工具生成。
      1. 登录EVSM,在密钥管理页签中单击非对称密钥管理非对称密钥
      2. 非对称密钥管理对话框中,单击产生新密钥
      3. 产生非对称密钥对话框中,配置算法标识RSA密钥模长2048幂指数65537
      4. 单击产生

        EVSM将产生新的非对称密钥并输出显示公钥明文和私钥密文。

      5. 非对称密钥管理对话框中,单击生成RSA请求
      6. 生成RSA对话框中,输入合法的主题,选择是否使用内部索引,并输入密钥索引,单击确定生成RSA
    • 方式二:通过Tassl配套脚本生成。
      进入ECS2的/root/tasshsm_engine/cert/server/rsa目录,设置环境变量source ./setting,产生证书申请文件S_RSA_HSM.csr
      [root@localhost rsa]#./gen_rsaf_csr_with_hsm -r S_RSA_HSM.csr
请输入DN:/C=CN/ST=BJ/L=HaiDian/O=Beijing
      JNTA Technology LTD./OU=BSRC of TASS/CN=rsa_commoname/
请输入密钥模长[1024 - 2048]:2048
请选择摘要算法:1)SHA1
               2)SHA224
               3)SHA256
               4)SHA384
               5)SHA512
请输入:3
请输入加密机存储私钥的索引号:15
  2. 签发证书。
    • 在试用阶段,如果您采用自签发证书,自签发证书通过Tassl配套脚本产生。以下步骤为自签发证书的签发过程:
      1. 进入ECS2的/root/tasshsm_engine/cert/server/rsa目录。
      2. 设置环境变量source ./setting
      3. 签发S_RSA_HSM.crt
        ./sign_cert.sh S_RSA_HSM.csr S_RSA_HSM.crt
    • 如果您在生产阶段,建议从CA中心签发合格的服务器证书,或者登录阿里云SSL证书控制台去签发证书。

国密SM2算法的服务端证书(双证)申请和签发

  1. 生成证书申请文件 。
    • 方式一:通过EVSM的管理工具生成。
      1. 登录EVSM,在密钥管理菜单中单击非对称密钥管理非对称密钥
      2. 非对称密钥管理对话框中,单击产生新密钥
      3. 产生非对称密钥对话框中,配置算法标识SM2密钥索引号15产生非对称密钥
      4. 单击产生,EVSM将产生新的非对称密钥并输出显示公钥明文和私钥密文。
      5. 非对称密钥管理对话框中,单击生成ECC请求
      6. 生成ECC对话框中,选择算法标识主题标识,输入主题密钥索引,单击确定
    • 方式二:通过Tassl配套脚本产生。
      您可以在ECS2的/root/tasshsm_engine/cert/server/sm2目录下,设置环境变量source ./setting,产生证书申请文件SS_SM2_HSM.csr和加密证书申请文件SE_SM2_HSM.csr
      #产生证书申请文件SS_SM2_HSM.csr
[root@localhost rsa]# ./gen_sm2_csr_with_hsm -r SS_SM2_HSM.csr
请输入DN:/C=CN/ST=BJ/L=HaiDian/O=Beijing
JNTA Technology LTD./OU=BSRC of TASS/CN=sm2_commoname/
请输入加密机存储私钥的索引号:15

#产生加密证书申请文件SE_SM2_HSM.csr
[root@localhost rsa]# ./gen_sm2_csr_with_hsm -r SE_SM2_HSM.csr
请输入DN:/C=CN/ST=BJ/L=HaiDian/O=Beijing
JNTA Technology LTD./OU=BSRC of TASS/CN=sm2_commoname/
请输入加密机存储私钥的索引号:16
  2. 签发证书。
    • 如果您在试用阶段可以采用自签发证书,自签发证书通过Tassl配套脚本产生。以下步骤为自签发证书的签发过程:
      1. 进入ECS2的/root/tasshsm_engine/cert/server/sm2目录。
      2. 设置环境变量source ./setting
      3. 签发签名证书文件SS_SM2_HSM.crt和加密证书文件SE_SM2_HSM.crt
        #签发签名证书文件SS_SM2_HSM.cr
./sign_cert_s.sh SS_SM2_HSM.csr SS_SM2_HSM.crt

#签发加密证书文件SE_SM2_HSM.crt
./sign_cert_e.sh SE_SM2_HSM.csr SE_SM2_HSM.crt
    • 如果您在生产阶段建议从CA中心签发合格的服务器证书,或者登录阿里云SSL证书控制台去签发证书。

ECC算法的服务端证书申请和签发

  1. 生成证书申请文件。
    • 方式一:通过EVSM的管理工具生成。
      1. 登录EVSM,在密钥管理菜单中单击非对称密钥管理非对称密钥
      2. 非对称密钥管理对话框中,单击产生新密钥
      3. 产生非对称密钥对话框中,配置算法标识NID_NISTP256密钥索引号17产生非对称密钥
      4. 单击产生,EVSM将产生新的非对称密钥并输出显示公钥明文和私钥密文。
      5. 非对称密钥管理对话框中,选中产生的ECC曲线密钥单击生成ECC请求
      6. 生成ECC对话框中,选择算法标识,输入主题密钥索引,单击确定
    • 方式二:通过Tassl配套脚本产生。
      进入ECS2的/root/tasshsm_engine/cert/server/ecc目录,设置环境变量source ./setting,产生证书申请文件test_ecc.csr
      [root@localhost rsa]# ./gen_ecc_csr_with_hsm -r test_ecc.csr
请输入DN:/C=CNST=BJ/L=HaiDian/O=Beijing
JNTA Technology LTD./OU=BSRC of TASS/CN=ecc_commoname/    
请选择摘要算法:1)SHA1
               2)SHA224
               3)SHA256
               4)SHA384
               5)SHA512
请输入:3
请输入加密卡存储私钥的索引号(0代表不保存,并且输出加密私钥):17
  2. 签发证书 。
    • 如果您在试用阶段可以采用自签发证书,自签发证书通过Tassl配套脚本产生。以下步骤为自签发证书的签发过程:
      1. 进入ECS2的/root/tasshsm_engine/cert/server/ecc目录。
      2. 设置环境变量source ./setting
      3. 签发证书文件test_ecc.crt
        
./sign_cert.sh test_ecc.csr test_ecc.crt
    • 如果您在生产阶段建议从CA中心签发合格的服务器证书,或者登录阿里云SSL证书控制台去签发证书。