通过CSR管理更新证书

前提条件

创建CSR前，需要获取CSR的相关信息，例如“常用名(CN)”、“国家/地区(C)”、“省份/州(ST)”、“城市(L)”、“公司(O)”、“部门(OU)”、“邮箱 (E)”、“密钥算法”、“密钥长度”、“使用者备用名称”、“证书类型”、“密钥用途”和“扩展密钥用途”。
更新证书前，需要向CA申请并获取公钥和证书链。

背景信息

当前证书管理支持的密钥算法、密钥长度、证书类型、密钥用途和扩展密钥用途及其说明如表1所示。

查看证书有效期，具体可参见《管理员指南》中“查看运维面证书有效期”章节。

表1 证书信息
参数名称	参数说明
密钥算法	证书的密钥算法。 RSA ECDSA
密钥长度	RSA证书密钥长度： 8192 6144 4096 3072 2048 说明： RSA（2048位以下）为不安全的加密算法，建议使用RSA（3072位及以上）加密算法的证书。 ECDSA证书密钥长度： 521 384 256
证书类型	证书的使用类型。终端实体证书：不需要使用证书所对应的密钥签发证书时选择该类型。代理证书：需要使用所对应的密钥签发证书时选择该类型。
密钥用途	证书密钥的用途。数字签名：证书需要进行身份验证和数据完整性验证时选择该用途。防止抵赖：证书需要用公钥校验数字签名来提供防止抵赖（签名实体否认其请求）时选择该用途。密钥加密：证书需要使用加密协议时选择该用途。数据加密：证书需要加密其应用数据时选择该用途。密钥协商：用于发送端和接收端通过明文协商通信时加密数据的公钥。证书签名：当证书的公钥用于验证证书签名时选择该用途。只能是代理证书使用。 CRL签名：当证书的公钥用于验证吊销信息上的签名时选择该用途。只做加密：当证书启用密钥协议时选择该用途，表示证书的公钥在协商时只用于加密数据。只做解密：当证书启用密钥协议时选择该用途，表示证书的公钥在协商时只用于解密数据。
扩展密钥用途	证书扩展密钥的用途。服务器验证：TLS WWW 服务器认证，当密钥用途中有数字签名、密钥加密或密钥协商时使用该用途。客户端验证：TLS WWW 客户端认证，当密钥用途中有数字签名或密钥协商时使用该用途。邮件验证：邮件保护，当密钥用途中有数字签名、防止抵赖、密钥加密或密钥协商时使用该用途。

操作步骤

在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
在左侧导航树中选择“证书更新 > CSR管理”。
创建CSR。
1. 单击“创建CSR”。
2. 根据实际情况选择创建CSR的方式。
  - 通过选择已有模板创建CSR
    1. （可选）如果需要创建申请证书模板，具体请参考创建申请证书的模板。
    2. 在“选择模板”下拉列表中选择需要应用的证书申请模板的名称。
    3. 根据界面和实际需要配置参数信息。
      
      应用已创建的证书申请模板后，也可根据实际需要修改部分参数的值。
  - 直接创建CSR
    根据界面和实际需要配置参数信息。
3. 单击“确认”。
导出CSR文件并向CA申请公钥和证书链。
1. 单击已创建完成的CSR证书申请信息所在行“操作”列的，导出CSR文件。CSR文件格式为.csr。
  在CSR管理列表中，可查看已创建CSR的状态。
  - 未导出：状态为“未导出”的CSR支持修改、导出和删除。
  - 待绑定证书：状态为“待绑定证书”的CSR支持修改、导出、绑定和删除。
  - 已绑定证书：状态为“已绑定证书”的CSR支持删除，支持将已绑定的证书应用到服务。
2. 将CSR文件提交至CA以申请公钥和证书链。
将申请到的公钥和证书链与数据库中的CSR、私钥绑定。
1. 单击对应CSR所在行“操作”列的。
2. 填写证书相关信息、导入公钥和证书链。
3. 单击“提交”。
4. 在提示框中，仔细阅读提示信息后，请确认是否绑定证书。
  - 是：单击“确定”，完成绑定，请继续执行6。
  - 否：请单击“取消”，结束操作。
对于已绑定成功的证书，将证书应用到各服务。
1. 单击CSR信息所在行“操作”列的。
2. 根据实际应用情况，勾选对应服务名称。
3. 单击“确定”。
4. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要将证书应用到服务。
  - 是：请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行6.e。
  - 否：请单击“取消”，结束操作。
5. 查看将证书是否成功应用到对应服务。
  当提示框中显示“证书成功应用到服务。”，说明证书应用到服务成功，单击“确定”。否则，请根据提示框中的提示信息处理。
  
  将证书应用于服务时，证书的身份证书和证书链将会被应用到服务下。