1. 生成公私钥对
申请者(例如个人、公司或服务器管理员)首先需要创建一对公私钥,这是数字证书的基础。
流程:
申请者使用加密软件或工具(通常由操作系统或安全库提供)生成一对密钥:私钥和公钥。
私钥是一个保密的密钥,用于解密收到的数据或创建数字签名。私钥生成后必须严格保护,存储在安全的位置(如本地加密文件或硬件安全模块)。
公钥是对应的公开密钥,用于加密数据或验证签名。此时,公钥只是独立的密钥数据,尚未与申请者的身份绑定。
公私钥基于非对称加密算法(如RSA或ECC),确保两者在数学上相关但不可逆推。
公钥的作用:
公钥将用于后续的证书申请,嵌入到证书中,供他人使用(例如加密数据或验证申请者的身份)。
注意事项:
私钥绝不能泄露,公钥可以公开。
密钥长度(如2048位或更高)需符合安全标准,以确保加密强度。
2. 准备并提交证书签名请求(CSR)
申请者需要将公钥和自己的身份信息打包成一个证书签名请求(CSR),提交给CA(证书颁发机构)。
流程:
申请者收集身份信息,包括:
通用名称(CN):通常是域名(如example.com)或实体名称。
组织名称:如公司名称(对于组织验证或扩展验证证书)。
地理信息:如国家、城市等。
其他可选信息,如部门名称。
申请者将公钥和这些身份信息组合,生成CSR文件。CSR是一个标准化的数据结构,包含公钥和申请者的身份信息,通常还会包含申请者使用私钥生成的签名(证明申请者拥有对应的私钥)。