如何得到数字证书

 

您有多种方法获得数字证书,比如自己生成,供职单位发放,卫生主管部门发放,从第三方CA认证机构购买等等。从原理上讲,不管是自己生成的,还是从认证机构购买的,证书都是一样的,使用上也没有任何的区别,唯一的问题是信任的问题,也就是说,您自己生成的证书一般情况下是得不到别人的认可的。如果别人不认可自己生成的证书,证书自然就失去了存在意义,当然如果用在自己的单位中,并且大家都认可,自然也是可以使用的。

本部分主要说明一下如何制作生成自己的证书,但在介绍之前,简单介绍一下其他获取证书的方法。

 

供职单位发放和卫生主管部门发放

 

单位可以建立自己的证书管理部门或建立自己的CA机构,制作数字证书发放给自己的内部职工,只要在内部认可并在单位内备案,就不存在信任的问题,可以在内部使用自己制作的证书,当然,单位外部就无法得到信任了,更谈不上使用了。

 

第三方CA认证机构购买

 

推荐从第三方CA认证机构购买证书,因为他们是国家认可的、权威、可信、公正的第三方机构,专门负责发放并管理所有参与网上业务的实体所需的数字证书,数字证书是网络世界中的身份证,可以在网络世界中为互不见面的用户建立安全可靠的信任关系。

 

制作自己的证书

 

实际上自己制作证书也不是什么神秘的事情,更不是困难的事情,操作十分简单,几分钟就可以生成自己的证书了。

1. 运行证书制作软件

首先下载此软件:肯为旎免费办公平台,解压缩并将xampplite文件夹放到某个盘的根目录下(完成后的目录类似为D:\xampplite),启动并运行此软件。详细的使用帮助请参阅软件的说明。

2. 平台配置

您首先需要对平台进行设置,以方便自己能快速找到生成的证书的路径。一般情况下,配置分为两部分,一是签名私钥和公钥的路径设置,此配置与签名有关,与制作证书没有关系,但为了让帮助连贯,在这儿就一并进行介绍;二是生成的私钥和证书的保存位置,此配置与制作自己的证书有关,也是本部分的主要内容。

2.1 签名私钥和公钥的路径

在自己的计算机中开启“肯为旎免费办公平台”,点击左侧栏的“数字签名设置”会打开一个设置页面。请点击“签名私钥和公钥的路径设置”栏,输入自己的私钥和公钥的路径,它们将在签名时使用。

所谓私钥的路径,也就是保存您的私钥的移动U盘的盘符和路径,比如,J:\signature\privatekey.pem。一般情况下,软件有一个默认路径为 'public://signature/privatekey.pem',它位于X:\xampplite\htdocs\kenweinioffice\sites\default\files\signature,在这里保存了一个测试用的私钥和公钥,仅仅用于测试。

所谓公钥的路径,也就是保存您的公钥的路径,比如,J:\signature\cert.pem。公钥可以保存到您的移动U盘或计算机中,它将会在签名时一同附加到所签名的文档中。

温馨提示:为了您的私钥的安全,您不应该将私钥保存到保存到计算机中,而应该保存到移动U盘中,并将其随身携带。如果您将私钥保存到保存到计算机中(包括默认路径),就有被复制或下载的风险,就有可能带来不可估计的损失,请切记。

2.2 生成的私钥和证书的保存位置

点击“生成的私钥和证书的保存位置”栏,在路径输入框中输入生成的私钥和证书将要保存的位置,比如F:\mycrt,保存设置。

温馨提示:私钥和证书的保存路径应该设置为此平台的文件夹xampplite以外,比如F:\mycrt,以防止他人复制或下载。默认路径为public://mycrt,它位于X:\xampplite\htdocs\kenweinioffice\sites\default\files\signature,仅仅供演示之用。

3. 生成证书

点击“生成数字证书”链接,会打开一个新页面,依次输入页面中所要求的内容,比如密码、国家、省、所在地、组织、部门、证书主体、Email等等,然后点击提交,等待证书生成。

特别提醒:密码是必须输入的,而且一定要记住,否则以后将无法进行签名等操作。

证书生成完毕后,会有证书保存位置的提示,请进入到提示目录,您将会看到三个文件:cert.pem、privatekey.pem和cert.csr,请将相应的证书文件复制到自己的移动U盘中,并彻底删除原文件,以策安全。

为了让大家能正确地使用相应的文件,下面将一一进行介绍相应文件的作用。

cert.pem文件:它就是您自己制作的数字证书文件,它是包括公钥的文件,可对对公开。如果您不想购买第三方CA认证机构的证书,那么使用它就可以了,有了这个数字证书,您就可以进行加密/验证签名等相关操作了。

privatekey.pem文件:它就是您自己制作的私钥文件,私钥仅为本人所有,不对外公开,必须非常小心保存,最好加上密码,私钥是用来解密/签名用的。

cert.csr文件:它是证书签发请求(Certificate Signing Request)文件,如果您想购买第三方CA认证机构的证书,您就可以把这个CSR文件提交给证书颁发机构,证书颁发机构使用其根证书私钥对它进行签名来生成新的证书公钥文件,也就是颁发给用户您的证书。

温馨提示:制作完成后应该立即将生成的文件(尤其是私钥)复制到自己的移动U盘中,并彻底删除原文件,以策安全,同时也避免被后来所产生的文件覆盖而找不到原来的证书。

 

 

附:数字证书的原理简介

 

数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

1. 加密发送文件

当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。 在公开密钥密码体制中,常用的一种是RSA体制。

2. 数字签名

用户也可以采用自己的私钥对信息加以处理,由于私钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点: (1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认; (2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。