CFCA证书TXT格式转换_国密SM2双证书安装教程

解决CFCA签名与加密证书部署难题，适配国产硬件网关

针对CFCA颁发的TXT文本证书提供专业处理方案。详细解析SM2签名证书与加密证书的配对关系，提供在国产WAF与网关中导入国密证书的标准化步骤。解决浏览器不信任、证书链不完整等常见故障，确保证务与金融系统平滑完成国密化安全改造。

在SSL证书的专业语境中，CFCA（中国金融认证中心）下发的“TXT证书”通常指的是以Base64格式编码的证书文件（通常后缀为.cer或.crt）。

需要明确的是，证书无法转换回CSR。CSR是申请证书的“请求信”，而证书是CA签发后的“结果”。您真正的需求通常是将CFCA颁发的Base64文本转换为服务器可识别的证书格式，或者配合原有的私钥进行安装**。**

以下是处理CFCA文本证书并完成部署的专业步骤：

1. 将文本保存为标准证书文件

CFCA提供的TXT内容通常以 -----BEGIN CERTIFICATE-----开头。

• 将TXT内的全部文本复制。
• 新建一个文本文档，粘贴内容。
• 另存为 my_certificate.crt（确保编码为UTF-8或ANSI，不要带BOM头）。

2. 补全证书链

CFCA作为国产CA，其根证书和中间证书通常不被国外浏览器默认信任。您需要将CFCA提供的中间证书文本衔接到您自己的证书后面。

• 打开您的证书文件。
• 在末尾换行，粘贴中间证书内容。
• 最终结构应为：

3. 关联原始私钥

由于您之前生成过CSR，您的服务器上一定存在一个对应的私钥文件（通常后缀为.key）。

• 重要提示：证书文件（.crt）必须与生成CSR时产生的私钥（.key）完全匹配，否则无法启动HTTPS服务。
• 如果您丢失了私钥，即便有证书也无法使用，必须重新生成CSR并联系CFCA重签。

4. 格式转换（根据服务器需求）

如果您使用的不是Nginx，而是其他服务器，可能需要利用OpenSSL进行转换：

• 转为PFX/P12（用于IIS/Tomcat）
• 查看证书详情（确认有效期与域名）

5. 关于“国密”证书的特殊说明

如果这是CFCA的国密SM2证书，它通常会下发两个证书文件：签名证书和加密证书。在Nginx国密版或国密网关中，您需要分别指定这两个文件及其对应的两个私钥。

CFCA签发后，您应当获取到以下四个核心组件。在导入网关前，请务必核对文件名或内容：

• 签名证书：包含您的域名信息，用于身份认证。
• 签名私钥：生成签名CSR时产生的私钥。
• 加密证书：用于数据加密，通常由CFCA直接生成并随公钥下发。
• 加密私钥：对应加密证书的私钥（通常在CFCA下发的包内）。

6. 在国产网关（如深信服、安恒、奇安信）中导入

大多数国产硬件网关都有专门的“国密证书管理”模块，步骤如下：
在管理后台进入“数字证书”或“SSL代理”页面，选择“添加国密证书”。在相应位置分别上传签名证书文件和签名私钥文件。在相应位置分别上传加密证书文件和加密私钥文件。如果在导入时提示“证书链不完整”，需要将CFCA的国密中间证书（SM2格式）导入到网关的“受信任CA”列表中。在虚拟服务（VS）或HTTPS访问策略中，将引用对象修改为刚才创建的这个“国密双证书”。

7. CFCA国密证书的合并注意事项

如果您的网关要求以单一文件形式上传（例如某些国产化的Nginx或中间件），您可能需要手动合并证书：

• 如果CFCA提供了多级中间证书，合并顺序为：域名证书 > 中间证书 > 根证书。
• 国密证书在文本模式下同样以 -----BEGIN CERTIFICATE-----开头，但内部算法标识为 SM2-with-SM3。确保不要将国际算法的中间证书混入国密链中。

8. 验证部署是否成功

由于普通浏览器无法解析国密算法，安装完成后请使用红莲花、360国密版或奇安信浏览器进行测试：

• 打开网页后，点击地址栏的小锁标志。
• 查看证书详情，确认算法显示为SM2。
• 确认证书颁发者显示为CFCA SM2 OCA。