4.1 证书申请

4.1.1 证书申请流程

网格证书的申请流程如下图所示。

图 4.1.1-1 网格证书申请流程

证书申请分为两步:

第一步:通过网页下载证书申请表(Application Form),并提交给 RA Operator,只有 RA 同意用户证书申请请求后,才可以进行第2步。

第二步:通过网页 https://cagrid.ihep.ac.cn 的 online-request 向 CA Operator 提交各种类型的证书申请。

4.1.2 申请个人证书

申请证书的网页地址 https://cagrid.ihep.ac.cn/

申请个人证书示例(以IE浏览器为例)

图 4.1.2-1 申请个人证书

点击网页下部 “Request a Certificate” 按钮。

图 4.1.2-2 获取申请表格

点击上图标示的红色框,下载证书申请表格。填写完整后,通过邮件发送给 RA Operator。如果用户满足证书申请要求,将会收到确认邮件。

用户收到确认邮件后,向 IHEP Grid CA 网站提交在线请求申请个人证书。点击https://cagrid.ihep.ac.cn 中Online for User Request,根据网页提示依次填写单位(organization),部门(unit),姓(Last Name)和名(First Name)。请注意一个用户如果需要两个不同的个人证书,则其申请时的姓(Last Name)和名(First Name)不能完全一样。

个人信息输入完毕的网页如下图所示。

图 4.1.2-3 个人信息输入

此时点击下一步生成证书申请的 key,并根据网页提示依次点击下一步确认直至下图的网页出现。

图 4.1.2-4 生成请求信息

选择 Generate Request,并确认,见下图。

图 4.1.2-5 确认信息

此时,用户邮箱会收到一封来自ihepca的确认邮件,邮件内容如下图。

图 4.1.2-6 确认邮件信息

用户需要访问邮件中提供的网页地址对申请进行有效性确认,如下图所示。

图 4.1.2-7 确认成功

此时可在浏览器中看到 Success 按钮,表明证书管理员已经收到用户证书申请。管理员将会在 5 个工作日内给予邮件方式回复。

4.1.3 申请主机证书

用户必需拥有一个IHEPCA颁发的User证书后才能申请host 证书。

步骤如下:

在已经安装了个人证书的浏览中访问 https://cagrid.ihep.ac.cn/pki/pub

图 4.1.3-1 主机证书申请主界面

点击 Request Certificate

图 4.1.3-2 申请证书界面-2

点击 Online for Host Request, 会有个人证书选择,在此例子中,选择已经存在的个人证书:

图 4.1.3-3 选择个人证书

之后,开始申请:

图 4.1.3-4 填写主机证书 DN

填写 host 证书名字,以及申请人的 email 地址后,点击“下一步”并再次确认(Continue)。

图 4.1.3-5 填写主机证书信息

根据网页提示如实填写机构名称( Organization)和机构部门名称(Organization Uint)后

图 4.1.3-6 填写主机信息

点击 Continue:

图 4.1.3-7 协议确认

点击Continue按钮,用户将看到下图的网页

图 4.1.3-8 主机证书确认信息

选择“Generate Request”:

图 4.1.3-9 主机证书确认信息

最后,用户会收到邮件:

图 4.1.3-10 确认邮件

在浏览器中访问邮件提供的网页地址,并进行确认:

图 4.1.3-11 确认成功

如果网页中将出现 success 提示,说明证书申请成功,证书管理员已经收到 host 证书申请,将在 5个工作日内进行批复。批复结果以邮件通知为准。 回复邮件由系统自动产生,请勿直接回复。

4.1.4 证书获取

如果证书申请成功,则申请者将收到邮件回复,提示用户下载证书,内容如下:

图 4.1.4-1 证书邮件

获取证书的方法有两种:

方法一、邮件中会指明所得到证书的序列号,如1192652867203875766364965。用户需要使用申请证书时用的同一浏览器,在地址栏中输入:https://cagrid.ihep.ac.cn/

图 4.1.4-2 证书下载主界面

点击“install my certificate”

图 4.1.4-3 安装下载证书

输入对应的Serial Number,证书会自动下载安装到浏览器中。

方法二、在邮件中会写明有自动获取证书的网址,如:

You can either follow the proposed link to import the certificate directly from the server (no action required from you): https://cagrid.ihep.ac.cn:443/cgi-bin/pki/pub/pki?cmd=getcert&key=1192652867203875766364965&type=CERTIFICATE

用户使用申请证书时所用浏览器点击或输入以上网址,即可获取证书。

4.1.5 注意事项

  1. 申请者将会收到来自ihepca@ihep.ac.cn的两封邮件,主题分别为:"OpenCA Certificate information" & "OpenCA Certificate and PIN information",其中"OpenCA Certificate information" 邮件中描述了获取证书的详细步骤;"OpenCA Certificate and PIN information "是加密后发送的邮件,用来保证该邮件在被用户读取之前未被其它第三者读过。

  2. 如果用户未能在正常时间内收到ihepca@ihep.ac.cn回复的邮件,请先检查自己邮箱的邮件过滤功能,来自ihepca@ihep.ac.cn的邮件是否被邮箱安全策略过滤放入垃圾邮件中。如果仍确认未收到回复邮件,请与CA 管理员联系。

  3. 在获取证书时,务必用申请证书时所用的同一操作系统和同一浏览器,且在此期间浏览器不要升级,否则用户将会由于缺少申请时的私钥信息而无法正常获取证书。

  4. 系统暂不支持苹果操作系统和 Safari 浏览器申请证书;使用 IE 或 Chrome 有可能出问题,因此推荐使用 Firefox 浏览器申请.

4.1.6 证书从浏览器中导出

以IE为例

  1. 打开浏览器->工具->internet选项
  2. 内容->高级->证书管理->选择证书->导出

4.1.7 证书管理人员信息

RA Operator (Registration Authority)孙功星:sungx@ihep.ac.cn +86 010 88236004 CA Operator(Certification Authority) 颜田: yant@ihep.ac.cn +86 010 88236837

results matching ""

    No results matching ""