11.7. 证书设置的建议步骤

首先执行 “我的证书” 流程，然后在收到合作伙伴证书后执行 “合作伙伴证书” 流程。

如果你打算为所有合作伙伴使用单个证书，那么 “我的证书” 部分只需执行一次，但建议为每个贸易伙伴创建单独的证书，因为这样在证书过期时更容易管理升级，你只需一次与一个合作伙伴协调。

你需要为每个与之交易的合作伙伴执行 “合作伙伴证书” 流程。

11.7.1. 我的证书

以下是为 OpenAS2 证书设置的步骤摘要，其中每个合作关系都有一组唯一的证书。如果你希望使用单个证书，则只需执行此过程一次。对于基于 DOS 的执行，请将所有使用 “/” 的路径替换为 DOS 的 “\”。假设你的公司名称是 “MyCompany”，你的贸易伙伴是 “PartnerX”：

1. 打开 Unix shell 或 DOS 窗口
2. 切换到包含证书的文件夹：/config
3. 运行 gen_p12_key_par.sh 脚本（windows 使用.bat 版本）。对于此示例，我们使用：

   gen_p12_key_par.sh as2_certs mycompany SHA256 "CN=as2.mycompany.com, OU=QA, O=PartnerA, L=New York, S=New York, C=US"

注意：

• 你应该设置证书的有效期限，并可选地设置有效性开始日期 —— 不带命令行参数运行脚本以查看用法详情

• 如果你打算为所有合作伙伴使用单个证书，那么不要使用 “mycompany_partnerx” 作为证书别名，而是使用一个通用名称，例如 mycompany_cert

4.生成的文件将是：

• mycompany_partnerx.p12—— 包含带有公钥和私钥的自签名证书的新密钥库
• mycompany_partnerx.cer—— 要发送给你的合作伙伴的公钥

5.如果这是新安装：

• 删除现有的 AS2 证书文件：/config/as2_certs.p12
• 将新生成的密钥库复制到：/config/as2_certs.p12

6.如果这是为另一个合作伙伴添加的额外证书，并且 as2_cert.p12 中已经存在一些其他合作伙伴证书，请运行脚本将整个新的证书密钥集导入到 as2_certs.p12 中：

<installDir>/bin/import_alias_from_keystore.sh mycompany_partnerx.p12 mycompany_partnerx as2_certs.p12 mycompany_partnerx

注意：如果需要，你可以将源密钥库的别名更改为其他名称。不带命令行参数运行上述脚本以查看用法。

7.在 partnerships.xml 中，确保有一个公司的条目，其 x509_alias 设置为 “mycompany_partnerx”

<partner name="MyCompany_PartnerX" as2_id="MyCompanyPartnerX_OID" x509_alias="mycompany_partnerx" email="as2msgs@mycompany.com"/>

注意：如果你为所有合作关系使用单个证书，那么在 partnerships 文件中只需为你的公司有一个合作伙伴条目。

11.7.2. 合作伙伴证书

假设你的贸易伙伴发送的公钥文件名为 “partnera.cer”。以下是将贸易伙伴证书安装到 OpenAS2 证书密钥库中的步骤摘要。对于基于 DOS 的执行，请将所有使用 “/” 的路径替换为 DOS 的 “\”：

1.打开 Unix shell 或 DOS 窗口

2.切换到包含证书的文件夹：/config

3.删除现有的 AS2 证书文件：/config/as2_certs.p12

4.运行 import_public_cert.sh 脚本（windows 使用.bat 版本）。对于此示例，我们使用：

import_public_cert.sh as2_certs.p12 partnera partnera.cer

5.密钥库现在将在新别名 “partnera” 下有一个额外的证书。

6.在 partnerships.xml 中，确保新贸易伙伴有一个条目，其 x509_alias 设置为 “partnera”

<partner name="PartnerA" as2_id="PartnerA_OID" x509_alias="partnera" email="as2msgs@partnera.com"/>