數字證書調用CSP過程

CSP是Windows安全應用的基礎，在Windows操作系統上實現https安全瀏覽（即SSL安全數據通信）和實現安全隧道(如Ipsec)功能，都必需有CSP參與密碼運算。

  加密服務提供程序 (CSP) 是執行身份驗證、編碼和加密服務的程序，基於 Windows 的應用程序通過 Microsoft 加密應用程序編程接口 (CryptoAPI) 訪問該程序。每個 CSP 提供不同的 CryptoAPI 實現。某些提供更強大的加密算法，而另外一些則使用硬件組件（如USBkey）。密鑰對的產生是證書申請過程中重要的一步，其中產生的私鑰由用戶保留，公鑰和其他信息則交於CA中心進行簽名，從而產生證書。根據證書類型和應用的不同，密鑰對的產生也有不同的形式和方法。對普通證書和測試證書，一般由瀏覽器或固定的終端應用來產生，這樣產生的密鑰強度較小，不適合應用於比較重要的安全網絡交易。而對於比較重要的證書，如商家證書和服務器證書等，密鑰對一般由專用應用程序或CA中心直接產生，這樣產生的密鑰強度大，適合於重要的應用場合。 

CA系統頒發證書時對CSP的調用流程。

1. 首先通過瀏覽器登錄CA服務器界面http://servername/certsrv，其中servername 是要訪問的證書頒發機構所在的 Windows Web 服務器的IP地址。

   

2. 選擇任務："申請證書"

 

3. 提交一個"高級證書申請"。

4. 通過步驟3，此時可有兩種數字證書申請的方法，分別爲

   (1) 創建並向此CA提交一個申請。(此方法可以稱之爲直接使用CSP進行申請，因爲此過程中大部分工作均在後臺由CSP完成，用戶看不到更多細節)

   (2) 使用base64編碼的CMC或PKCS#10提交證書申請······(此方法要求先產生P10請求然後再申請證書，相比於方法(1)，此方法是將請求文件單獨拿出，如果無法連接能夠聯機處理證書申請的證書頒發機構，則需要使用該選項)。

4.1 直接使用CSP申請證書：

4.1.1 點擊"創建並向此CA提交一個申請"，會得到一個表單(如圖示)，按照表單提示用戶需要填寫三部分內容：

識別信息：數字證書申請者的身份資料信息。

需要的證書類型：客戶端身份驗證信息。

密鑰選項：“使用的加密服務提供程序（CSP）”、“密鑰類型(交換，簽章，兩者）、"建立新的密鑰組(或使用現存的密鑰對)"、"密鑰長度"、"自動命名密鑰容器(或指定密鑰容器名稱)"、"私鑰是否可導出"、"是否對私鑰添加強口令保護"。其它選項：證書格式(CMC或PKCS10)，散列算法(SHA1)

4.1.2. 用戶個人資料信息填寫完畢，點擊確定後，該申請中的信息先從申請程序發送到 CryptoAPI。CryptoAPI 通過計算機中的advapi.dll與crypt32.dll間接地調用CryptoSPI向用戶在步驟1中選擇的“加密服務提供程序(CSP)”(此處的CSP是安裝在計算機上或計算機可以訪問的設備上) 提供正確的數據。

4.1.3. 根據步驟4.1中的密鑰選項生成密鑰對。

    (1) 如果 CSP 是基於軟件的，則它在計算機上生成一個公鑰和一個私鑰，這兩個密鑰通常稱爲密鑰對。

    (2) 如果 CSP 是基於硬件（如USBkey中內嵌的CSP）的，則它指導一個硬件生成密鑰對。

      上述兩種方式均爲通過調用CrypyAPI函數實現：

4.1.4.  密鑰對生成後，導出公鑰(上面流程的第3步)，同時對私鑰進行強保護。

    對私鑰的保護分爲：

    (1) 基於軟件的 CSP 將對私鑰進行口令加密(要求用戶輸入私鑰保護口令)，從而保護私鑰的安全；

    (2) 基於硬件的USBkey的內置 CSP 將私鑰存儲在flash芯片內，邏輯上是保存在獨屬於用戶的密鑰容器內，通過硬件的訪問控制加強對私鑰的保護。

4.1.5. 將導出的公鑰連同步驟1中用戶填寫的表單中的信息按照步驟1"其他選項"選擇的"證書格式"PKCS10(或CMC)的規則構造證書請求，構造完成後將證書請求發送給CA。(此處假設用戶註冊機構RA與CA合併一起，並未明確分開)

 

4.2 使用方法(2)先產生P10證書請求申請數字證書。

4.2.1 點擊"使用base64編碼的CMC或PKCS#10提交證書申請······",會得到要求輸入P10文件的頁面。

4.2.2 將請求文件的內容粘貼至空白處即可。

  打開“記事本”。在“文件”菜單中，單擊“打開”。選擇 PKCS #10 或CMC文件，然後單擊“打開”。在“編輯”菜單上，單擊“全選”，然後單擊“編輯”菜單上的“複製”。在網頁中，單擊“保存的申請”滾動框。單擊“編輯”菜單上的“粘貼”，將證書申請的內容粘貼到滾動框中。注意：此處不能使用word打開，因爲word會自動添加回車符。

4.2.3 此時點擊提交，將證書請求提交給CA

下面補充一下如何得到PKCS#10或CMC文件。

在步驟4.1.1中，其中在其它選項中包括申請格式(CMC或者PKCS#10)，還有保存申請的複選框，只要將此處勾選，並設置好路徑，前面選擇的申請格式PKCS#10保存後就是P10請求，同理，選擇的CMC，保存的請求文件就是CMC格式。