产生p10请求东方通服务 ssl-TopSSL

问题背景：P10 请求与东方通服务 SSL 配置

在为东方通（TongWeb、TongLINK/Q 等）中间件部署 SSL/TLS 时，若需向私有 CA 或国密合规 CA 申请证书，常需生成 PKCS#10 格式的证书签名请求（CSR），即 P10 请求。该格式是 PKI 体系中的标准结构，用于提交公钥及主体信息以签发 X.509 证书。

P10 请求包含以下核心字段：

主体 DN（Distinguished Name）：如 CN=example.com, O=Company, C=CN
公钥信息（来自密钥对）
签名算法标识（如 sha256WithRSAEncryption）
可选扩展（如 SAN、Key Usage）

在国产化或等保合规场景中，东方通常与 CFCA、华测（华测）、锐安信等支持国密SSL证书的 CA 配合使用，此时 P10 请求需支持 SM2/SM3/SM4 算法套件。

【主题锚点句】本文讨论在东方通系列服务中生成符合 CA/B Forum BR 要求及国密合规的 P10 请求的技术路径、工具选择与注意事项。

核心技术机制：P10 请求生成方法

基于 OpenSSL（兼容国际算法）

适用于申请 RSA/ECC 证书的场景：

# 生成 RSA 私钥
openssl genrsa -out server.key 2048

# 生成 P10 请求（交互式输入 DN）
openssl req -new -key server.key -out request.p10 -sha256

# 非交互式（适合自动化）
openssl req -new -key server.key -out request.p10 \
  -subj "/C=CN/O=Company/CN=server.example.com" \
  -addext "subjectAltName=DNS:server.example.com,DNS:www.example.com"

输出 request.p10 即可提交至 CA。

基于国密 OpenSSL（支持 SM2）

若需申请 SM2 证书（如用于政务、金融系统），应使用支持 SM 国密算法的 OpenSSL 改进版（如 GmSSL）：

# 生成 SM2 密钥对
gmssl ecparam -genkey -name sm2p256v1 -out server.key

# 生成 SM2 兼容的 P10 请求
gmssl req -new -key server.key -out request.p10 \
  -subj "/C=CN/O=Company/CN=server.example.com" \
  -sm3

注意：部分 CA 要求 P10 使用 DER 编码，可用：

openssl req -in request.p10 -out request.der -outform DER

通过 Java KeyTool（适用于 TongWeb）

东方通 TongWeb 基于 Java EE，推荐使用 `keytool` 生成密钥对和 CSR：

# 生成密钥库与密钥对（JKS 格式）
keytool -genkeypair -alias server -keyalg RSA -keystore keystore.jks \
  -storepass changeit -keypass changeit -validity 365 \
  -dname "CN=server.example.com,O=Company,C=CN"

# 导出 P10 请求
keytool -certreq -alias server -keystore keystore.jks \
  -file request.p10 -storepass changeit

对于 SM2，需使用支持国密的 BouncyCastle Provider 或商用国密 JCE 包，并指定 -keyalg SM2（依赖具体实现）。