申请方式三：通过双证书方式申请证书

背景信息

双证书是指在建立TLS连接过程中使用的证书，包括签名证书和加密证书。

操作步骤

1. 在主菜单中选择“系统 > 关于 > CA服务”。
2. 在左侧导航树中选择“证书申请 > 证书申请”。
3. 在“双证书申请”页签中，填写证书申请信息。
   参数说明请参见表1。

   表1 双证书参数说明表

   参数		说明	取值建议
   关联CA		选择关联CA，向该CA申请证书。	缺省值：无 建议值：无
   申请者		用户可自定义申请者的名称，用于区分不同申请者。	缺省值：无 建议值：无
   签名证书	签名证书模板	选择签名证书模板，用于签发签名证书。	缺省值：无 建议值：无
   	CSR文件	证书签名请求。	上传的证书链文件必须是.csr，.txt或.req格式。 只能上传1个文件，且文件大小小于100KB。 证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。 CSR文件中的使用者信息不能和关联CA的使用者信息相同，否则会导致申请证书失败。 缺省值：无 建议值：无
   加密证书	使用者信息与签名证书保持一致	勾选，使用者信息和签名证书保持一致。 不勾选，选择加密证书模板后需要填写模板中配置的使用者的相关信息。	缺省值：无 建议值：无
   	加密证书模板	选择加密证书模板，用于签发加密证书。	证书模板只能选择证书等级为终端实体的模板。 缺省值：无 建议值：无

4. 单击“提交”。

相关任务

• 查看证书：

  在“PKI管理 > 证书管理”页面，单击某证书的序列号，查看该证书的详细信息。

  

  证书在过期30天后会被自动清理，如果CA服务已签发的证书个数超过CA服务支持的最大个数的80%时，将会自动清除所有过期证书。

• 更新证书：

  在“PKI管理 > 证书管理”页面，单击证书右侧的“更新”，可更新该证书。更新证书后可选择是否下载证书到本地。

  

  通过CMP协议、隐私CA协议或上传CSR文件申请的证书不能更新。

• 查找证书：

  在“PKI管理 > 证书管理”页面，通过在搜索框中输入证书使用者的名称来进行查询。也可通过在“高级搜索”中查找证书的序列号、有效期、吊销原因、颁发者或状态来进行查询。CA服务支持按照证书使用者名称、序列号、有效期或颁发者模糊查询。

  在“证书申请 > 申请列表”页面，通过在搜索框中输入申请者名称、CA名称、使用者名称或提交时间来进行查询。CA服务支持按照申请者名称、CA名称、使用者名称或提交时间模糊查询。

• 吊销证书：

  在“PKI管理 > 证书管理”页面，单击证书右侧的“吊销”，可吊销该证书。

  

  只有吊销原因为“证书待定”的证书，才可解除吊销。以其他原因吊销的证书一经吊销，便无法获取信任！

• 解除吊销证书：

  在“PKI管理 > 证书管理”页面，单击证书右侧的“解除吊销”，可解除吊销该证书。

• 下载证书：
  • 在“证书申请 > 申请列表”页面，单击证书右侧的“下载证书”，将该证书下载到本地。
    

    • 通过基本信息方式或双证书方式申请的证书在下载时需要输入证书口令，证书口令长度必须为8~32个字符，必须包含数字、大小写字母、特殊字符或者其中3种，并且不能超过2个连续相同字符。
    • 只有申请成功的证书才可下载。
  • 在“PKI管理 > 证书管理”页面，单击证书右侧的“下载”，根据实际需求选择并下载对应文件格式的证书。
    

    • 文件名长度为1~20位字符，字符类型可以是数字、大小写字母、下划线、中划线，但不能是“null”或“all”（不区分大小写）。
    • 文件口令长度必须为8~32个字符，必须包含数字、大小写字母、特殊字符或者其中3种，并且不能超过2个连续相同字符。