创建和安装签名证书

本部分描述签名证书,它用于不可抵赖性,并用于验证签署者

入站签名证书

当您接收到文档时,“文档管理器”使用参与者签名的证书来验证发送者的签名。参与者将 X.509 DER 格式的自签名签名证书发送给您。接下来,您通过“社区控制台”将参与者的证书安装在相应参与者的概要文件下。

要安装证书,请使用下列过程。

  1. 接收参与者的 X.509 签名证书,格式为 DER。
  2. 通过“社区控制台”将证书安装在参与者的概要文件下。
    1. 单击帐户管理 > 概要文件 > 社区参与者,然后搜索参与者的概要文件。
    2. 单击证书
    3. 单击装入证书
    4. 选择数字签名作为证书类型。
    5. 输入证书的描述(这是必需的)。
    6. 将状态更改成已启用
    7. 单击浏览,然后浏览至保存了证书的目录。
    8. 选择证书,然后单击打开
    9. 单击上载,然后单击保存
  3. 如果证书是由 CA 签署的,但 CA 根证书和其他任何作为证书链一部分的证书 尚未安装在中心操作者的概要文件中,则现在就安装这些证书。
    1. 单击帐户管理 > 概要文件 > 证书来显示“证书列表”页面。

      确保以中心操作者身份登录进“社区控制台”,然后将证书安装在您自己的概要文件中。

    2. 单击装入证书
    3. 选择根和中级
    4. 输入证书的描述(这是必需的)。
    5. 将状态更改成已启用
    6. 单击浏览,然后浏览至保存了证书的目录。
    7. 选择证书,然后单击打开
    8. 单击上载,然后单击保存
    注: 如果 CA 证书已经安装,则无须执行上述步骤。
  4. 在包(最高级别)、参与者或连接级别(最低级别)上启用签名。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。

    例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 签名的)。

出站签名证书

当“文档管理器”向参与者发送出站、签名文档时,它使用该证书。相同的证书和密钥用于所有端口和协议。

您可以有多个数字签名证书。 一个是主证书,缺省情况下使用。 另一个是次级证书,如果主证书到期或者无法使用,则使用该证书。

使用自签名证书

如果您将使用自签名证书,则使用以下过程。

  1. 启动 iKeyman 实用程序。
  2. 使用 iKeyman 生成自签名证书和密钥对。
  3. 使用 iKeyman 将包含公用密钥的证书抽取到文件。
  4. 将证书分发给参与者。首选的分发方法是通过电子邮件以受密码保护的压缩文件形式发送证书。参与者必须向您致电,索取压缩文件形式的密码。
  5. 使用 iKeyman 导出 PKCS12 文件格式的自签名证书以及专用密钥对。
  6. 通过“社区控制台”安装 PKCS12 文件格式的自签名证书和专用密钥对。
    1. 单击帐户管理 > 概要文件 > 证书来显示“证书列表”页面。

      确保以中心操作者身份登录进“社区控制台”。

    2. 单击装入 PKCS12
      注:
      1. 正在上载的 PKCS12 文件应当只包含一个专用密钥和相关证书。
      2. 您也可以将证书和专用密钥上载为 DER 编码的证书和 PKCS#8 编码的专用密钥。
    3. 选择数字签名作为证书类型。
    4. 输入证书的描述(这是必需的)。
    5. 将状态更改成已启用
    6. 单击浏览,然后浏览至保存了证书的目录。
    7. 选择证书,然后单击打开
    8. 输入密码。
    9. 如果有两个数字签名证书,通过从证书用途列表选择次级, 指出这是主证书还是次级证书。
    10. 单击上载,然后单击保存
  7. 如果参与者有次级签名证书,则重复步骤 6

如果您正为 SSL 客户机认证和数字签名上载主证书和次级证书,而且正以两个单独的实体上载主证书,则请确保相应的次级证书也是以两个不同实体上载的。

使用 CA 签名的证书

如果您打算使用由 CA 签名的证书,请使用下列步骤:

  1. 启动 iKeyman 实用程序。
  2. 使用 iKeyman 生成“接收器”的证书请求和密钥对。
  3. 将证书签名请求(CSR)提交到 CA。
  4. 当从 CA 接收到已签名证书时,使用 iKeyman 将已签名的证书放入密钥库。
  5. 将签名的 CA 证书分发给所有参与者。

Copyright IBM Corp. 2003, 2005