附录E.证书生成参考

本文档描述 RSA 证书和国密 SM2 证书的生成方法，供商户对接收付通平台使用。

一、OpenSSL 生成 RSA 证书对

1.1 安装 OpenSSL

下载地址

来源	地址
官方下载	http://slproweb.com/products/Win32OpenSSL.html
直接下载	[附件]Win64OpenSSL_Light-1_1_1L.zipz

建议使用 1.1.1 版本

安装说明

以 Windows 版本安装为例，最后的安装确认界面，请将捐款的勾选去掉：

本文档后续操作以安装目录 C:/OpenSSL 为例

1.2 生成 RSA 密钥对步骤

步骤 1：生成私钥（DES3 算法保护）

openssl genrsa -des3 -out private-rsa.key 1024

执行过程中提示 Enter pass phrase 时，输入保护私钥文件的密码。

⚠️ 私钥密码需记住，生成公钥证书时需使用。密钥长度可选 1024 或 2048，根据需要配置。

步骤 2：生成公钥证书

openssl req -new -x509 -key private-rsa.key -days 3650 -out public-rsa.cer

参数	说明
`-days`	证书有效时间，单位：天，可按需调配

执行过程：

首先需输入 私钥文件的保护密码
其他信息按商户需求自行输入（不输入按回车也不影响使用）

步骤 3：生成 PKCS12 格式 Keystore

openssl pkcs12 -export -in public-rsa.cer -inkey private-rsa.key -out user-rsa.p12

1.3 生成演示截图

步骤 1：生成过程截图

标注说明：

步骤 1：设置私钥密码
步骤 2：输入步骤 1 设置的私钥密码
步骤 3：输入 P12 私钥的保护密码

步骤 2：生成结果截图

文件名	说明	处理方式
public-rsa.cer	公钥证书	重命名为「商户号04.cer」后提交通联
private-rsa.key	私钥文件	商户自行保存
user-rsa.p12	PKCS12 格式证书	商户自行保存

二、GmSSL 生成 SM2（国密）证书对

2.1 安装 GmSSL

下载与安装

来源	说明
官网	http://gmssl.org/docs/quickstart.html（Linux 版本，需编译安装）
Windows 版本	下载编译好的 Windows 版本[附件]gmssl.zip ，解压到 `C:\gmssl`

2.2 Windows 版本生成 SM2 证书对步骤

步骤 1：生成私钥

gmssl ecparam -config ./openssl.cnf -genkey -name sm2p256v1 -text -out private-sm2.key

步骤 2：生成公钥证书

gmssl req -config ./openssl.cnf -new -x509 -key private-sm2.key -subj "/C=CN/ST=GD/L=GZ/O=ALLINPAY" -days 3650 -out public-sm2.cer

参数	说明
`-days`	证书有效时间，单位：天，可按需调配
`-subj`	证书主体信息，根据实际情况输入

步骤 3：生成 PKCS12 格式 Keystore

gmssl pkcs12 -export -in public-sm2.cer -inkey private-sm2.key -out private-sm2.p12 -password pass:111111

参数	说明
`-password pass:xxx`	设置私钥证书密码

2.3 生成演示截图

步骤 1：进入目录 C:\gmssl\bin

步骤 2：双击「生成证书.cmd」

说明：

双击批处理命令可一键生成证书
可用记事本编辑修改命令的相关参数

三、证书交付说明

3.1 公钥证书处理流程

┌─────────────────────────────────────────────────────┐
│  1. 将公钥证书重命名为「商户号04.cer」               │
│     （商户号为通联分配的对接参数）                   │
└───────────────────────┬─────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────┐
│  2. 将公钥邮件发送至通联对接人指定邮箱             │
└───────────────────────┬─────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────┐
│  3. 通联运营人员将公钥配置到收付通平台               │
└─────────────────────────────────────────────────────┘

3.2 私钥证书处理流程

┌─────────────────────────────────────────────────────┐
│  商户自行妥善保管私钥文件                           │
│  ⚠️ 切勿泄露私钥！                                  │
└─────────────────────────────────────────────────────┘

快速参考

命令速查表

RSA 证书（OpenSSL）

步骤	命令
生成私钥	`openssl genrsa -des3 -out private-rsa.key 1024`
生成公钥	`openssl req -new -x509 -key private-rsa.key -days 3650 -out public-rsa.cer`
生成 P12	`openssl pkcs12 -export -in public-rsa.cer -inkey private-rsa.key -out user-rsa.p12`

SM2 证书（GmSSL）

步骤	命令
生成私钥	`gmssl ecparam -config ./openssl.cnf -genkey -name sm2p256v1 -text -out private-sm2.key`
生成公钥	`gmssl req -config ./openssl.cnf -new -x509 -key private-sm2.key -subj "/C=CN/ST=GD/L=GZ/O=ALLINPAY" -days 3650 -out public-sm2.cer`
生成 P12	`gmssl pkcs12 -export -in public-sm2.cer -inkey private-sm2.key -out private-sm2.p12 -password pass:111111`

文件命名规范

文件类型	命名格式	示例
公钥证书（提交通联）	`商户号04.cer`	`20060400000044504.cer`
私钥文件（自存）	`private-xxx.key`	`private-rsa.key`
PKCS12 证书（自存）	`user-xxx.p12`	`user-rsa.p12`

参数说明

参数	说明
`-days 3650`	证书有效期 10 年
`-des3`	DES3 算法保护私钥
`1024/2048`	RSA 密钥长度
`sm2p256v1`	SM2 国密算法

四、常见问题

Q1：证书密码忘记了怎么办？

需要重新生成整套证书对，并重新提交公钥给通联配置。

Q2：RSA 和 SM2 证书有什么区别？

类型	算法	适用场景
RSA	国际标准算法	一般对接场景
SM2	国密算法	国密要求场景

Q3：公钥提交后多久生效？

证书上传后需等待 5 分钟 才生效。