一、生成證書請(qǐng)求

*密鑰文件不區(qū)分操作系統(tǒng)平臺(tái)，推薦使用CIM網(wǎng)頁工具。

*下載CIM：
*https://cim.itrus.cn

運(yùn)行CIM客戶端，點(diǎn)擊工具箱，點(diǎn)擊CSR生成，然后填寫您的證書注冊(cè)信息，點(diǎn)擊生成，然后下拉至底部，點(diǎn)擊保存CSR和私鑰。請(qǐng)確保您填寫的信息真實(shí)性和準(zhǔn)確性，否則會(huì)導(dǎo)致證書申請(qǐng)失敗。
 以下是示例信息： 

*使用CIM工具創(chuàng)建csr文件之后，將生成的server.csr文件發(fā)送給天威誠信，等待證書的簽發(fā)。請(qǐng)同時(shí)備份server.key文件并稍后上傳到服務(wù)器上進(jìn)行配置。

*在您收到證書簽發(fā)郵件之前，請(qǐng)不要?jiǎng)h除壓縮包中的server.key文件，以避免私鑰丟失而導(dǎo)致證書無法安裝。
注：如SSL證書已簽發(fā)，不需要再次生成CSR，開始安裝證書即可。

二，安裝服務(wù)器證書

1.獲取服務(wù)器簽名證書文件 
將證書簽發(fā)郵件中的“以下是您的簽名證書”代碼的文本復(fù)制出來（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中。 

為保障服務(wù)器證書在客戶端的兼容性，服務(wù)器證書需要安裝中級(jí)CA證書。 在簽名證書代碼文本結(jié)尾，回車換行不留空行，粘貼證書簽發(fā)郵件中的“以下是您的中級(jí)CA證書”部分（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”），保存為包含兩段證書代碼的文本文件為server.pem文件。

2.獲取服務(wù)器加密證書文件 

將證書簽發(fā)郵件中的“以下是您的加密證書”代碼的文本復(fù)制出來（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，保存包含一段證書代碼的文本文件為serverencryption.pem文件。

3.提取加密密鑰

請(qǐng)下載SM2密鑰提取工具：http://www.shiyusi.cn/soft/iTrusSM2Tools.zip  

打開壓縮包后，運(yùn)行“iTrusSm2Tools.exe”文件，并在工具中錄入對(duì)應(yīng)信息。

簽名證書私鑰為server.key文件，加密證書為serverencryption.pem文件，加密私鑰密文為證書簽發(fā)郵件中“以下是您的加密私鑰密文”內(nèi)容，（包括“-----BEGIN EC PRIVATE KEY------”和“-----END EC PRIVATE KEY-----”）。如圖所示：

提取后得到的文件保存為serverencryption.key文件。

4.安裝服務(wù)器證書

復(fù)制生成的證書文件和密鑰文件到Nginx安裝目錄下的conf目錄（如Nginx不支持SM2證書安裝建議使用支持SM2算法的硬件設(shè)備適配或通過天威誠信獲取Nginx編譯GMSSL兼容SM2算法參考建議）。

打開Nginx安裝目錄下conf目錄中的nginx.conf文件 

找到 

    # HTTPS server 

    # 
    #server { 

    #    listen       443; 
    #    server_name  localhost; 

    #    ssl                  on; 
    #    ssl_certificate      cert.pem; 

    #    ssl_certificate_key  cert.key; 

    #    ssl_session_timeout  5m; 

    #    ssl_protocols  SSLv2 SSLv3 TLSv1; 
    #    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

    #    ssl_prefer_server_ciphers   on; 

    #    location / { 
    #        root   html; 

    #        index  index.html index.htm; 
    #    } 
    #} 

將其修改為 

server {

       listen       443 ssl;

       ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

       # RSA證書，需要配置在SM2證書之前

       ssl_certificate      serverRSA.pem;

       ssl_certificate_key  serverRSA.key;

       # SM2雙證書，配置在RSA證書之后

       ssl_certificate      server.pem;

       ssl_certificate_key  server.key;

       ssl_certificate      serverencryption.pem;

       ssl_certificate_key  serverencryption.key;

       location / {

         root   html; 

            index  index.html index.htm; 

       }

    }

保存退出，并重啟Nginx。 

通過360等支持SM2算法的瀏覽器以https方式訪問您的站點(diǎn)，測(cè)試站點(diǎn)證書的安裝配置。
 
三、備份服務(wù)器證書 

在您成功的安裝和配置了服務(wù)器證書之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您的系統(tǒng)應(yīng)用帶來不便。 
1.服務(wù)器證書的備份 

備份所有.key后綴服務(wù)器證書私鑰文件，以及.pem后綴的服務(wù)器證書文件即可完成服務(wù)器證書的備份操作。

2.服務(wù)器證書的恢復(fù) 

請(qǐng)參照服務(wù)器證書配置部分，將服務(wù)器證書密鑰文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。