CFCA 机构普通证书

普通证书是用户与服务器建立安全连接及签名时所使用的证书。普通证书的密钥对由相应的浏览器或USB Key自己产生和管理，下载证书时只需在CFCA证书下载中心输入获得的参考号和授权码即可。安装在浏览器证书存储区域或USB Key的普通证书除了用于与网站建立安全连接外，还可以用于安全电子邮件由邮件客户端直接应用。为了更好的推广普通证书的应用，CFCA开发了普通证书工具包帮助开发人员更方便的开发基于普通证书应用的产品。

第一章、普通证书的下载

**　　1.浏览器上CFCA证书链的安装**

　　用户在下载普通证书之前，首先要下载相应的CFCA 证书链。

　　1.访问https://cs.cfca.com.cn/网站，出现下图：

　　对于使用IE7的用户，或者使用Vista操作系统的用户需要做以下操作：

　　直接执行页面上的SetSafe.js脚本文件如下所示：

　　点击“打开”。

　　点击“运行”。

　　如果没有弹出设置成功，需要使用以下方法进行手工设置：

　　1）将下载证书的站点加入可信站点中，可以通过浏览器的“工具-->选项-->安全-->站点”，将CFCA添加为受信任的站点，如图：

　　2) 手工将受信任站点的【Internet选项-->安全-->可信站点-->自定义级别->ActiveX控件和插件->对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】 必须设置成启用，如图：

　　2.非微软VISTA系统用户，可以直接点击“自动安装证书链”，出现下图:

　　选择“是”，则安装成功，如下图：

　　3. 对于微软VISTA系统用户，可以选择“下载CA证书链文件”下载证书链文件，手动安装。

　　将下载的压缩文件解压缩后，有5个CFCA的证书链文件，除Root__CA.cer文件外，其余文件均可以双击证书链文件，对于出现的对话框都选默认通过，就能安装证书链。

　　对于非Root_CA.cer证书安装步骤如下(以Operation_CA2.cer文件为例)：

　　1)双击Operation_CA2.cer 文件，选择“打开”。

　　2)选择“安装证书”。

　　3)选择“下一步”。

　　4)选择“下一步”。

　　5)选择“完成”。

　　安装完成，出现导入成功画面。

　　对于Root_CA.cer文件安装步骤如下：

　　1) 双击Root__CA.cer文件。

　　2) 选择“下一步”。

　　3 )注意要选择“将所有的证书放入下列存储区”，不能选默认值。

　　4)点击“浏览”，选择受信任的根证书颁发机构。

　　大多数情况上述选择即可。

　　个别情况下，需要选中“显示物理存储区”，然后选中“受信任的根证书颁发机构”下面的“本地计算机”，选择确定：

　　5) 选择“下一步”。

　　6) 选择“完成”，安装成功。

　　7) 安装成功后，可以在IE“工具”栏中的“INTERNET 选项”中的“内容”一项，看到“证书”信息，在“中级认证机构”及“受信任的根证书”中会出现CFCA相关根证书。　　

第二章、普通证书的使用

1.文件证书的备份和恢复

　　对于将证书下载到浏览器中的用户来说，很可能由于系统损坏或者浏览器软件损坏等情况导致证书丢失或损坏，所以需要做好证书的备份工作，并在需要的时候进行证书的恢复。下面详细介绍一下如何进行证书的备份与恢复。对于USB Key用户没有这个操作。

关于普通证书应用中对话框的简单说明

　　一、用户访问https的网站过程中，在输入网站地址后，通常会弹出如下对话框：

　　这是IE本身的设置造成的。如果用户不希望每次访问https的站点都有这样的提示，只要勾中“以后不再显示该警告”即可。

　　二、用户访问https站点后将首先选择证书，选择证书之后以及每次使用证书都可能出现如下对话框：

　　此对话框是提醒用户某应用程序将使用证书。

　　此对话框的产生是在下载证书过程中设置的安全级别决定的。默认是中级，还有高级、低级可以选择。有关安全级别的设置请参考下图：

　　如果选择“高”，则每次使用证书都会弹出对话框要求输入密码：

　　输入密码错误则会有如下提示：

　　最终导致无法访问页面：

第三章、普通证书的管理

　　对于普通证书来说经常会有以下相关管理操作：

　　1）证书换发

　　当用户证书快过期或已经过期时，为用户重新生成一张证书操作称为证书换发。证书DN不变。如果证书还没过期，则新换发证书的失效时间在旧证书失效时间基础上加有效期；如果证书已经过期，则新换发证书的失效时间在当前时间基础上加有效期。原证书会被自动撤销。

　　2）证书补发

　　当用户的证书丢失或者装载证书的介质损坏后，需要重新发放证书的操作称为证书补发。证书DN不变，证书的生效时间和失效时间都不变。原证书会被自动撤销。

　　3）证书吊销

　　如果用户证书失秘或者用户不想继续使用该证书了，则可以做证书吊销操作。被吊销证书将放到CA的CRL列表里面。

　　对于普通证书来说，我们还可以通过浏览器提供的功能来查看普通证书的相关信息比如证书有效期等。打开浏览器，打开工具菜单->internet选项->内容->证书如下图：

　　选择需要的证书选择如下图：

以上内容均来自https://www.cfca.com.cn/20150817/101233528.html