1.90$申请 WISeID S/MIME 邮箱证书

前言

之前Actalis免费申请的一年S/MIME证书到期了，这次打算换个好点的性价比高的，于是找到了WISeID

basic计划一年是1.9 $（主页上写的是4.9实际注册登录后只要1.9$ ），并且他家还提供一个月的免费S/MIME证书用于测试，可以先签发一个测试一下。

测试没有问题后就可以开始正式购买

可以看到basic计划，该计划支持签发1-3年的证书

这里可以先买一年试用一下

Tips: 这里只能使用万事达或者VISA卡支付

支付成功后可以看到变成了Request Certificate

点击Request Certificate后来到证书申请界面。

Tips: ECC仅支持签名，不支持邮件加密，RSA支持签名和加密

我个人更喜欢ECC，并且加密功能由我自己的OpenPGP提供，所以选择的是ECC。（虽然对NIST P-256也喜欢不到哪去，要是能Ed25519/Curve25519最好了）

Key Generation method部分看你自己，我个人因为不用于加密倒是无所谓（人家要是想搞坏事直接重新签发一个就行了），如果是RSA并且用于加密邮件，建议还是选择CSR上传不要将私钥托管至平台

当然如果是想简便那就选择服务器生成吧。

这里写一下如何通过CSR上传的方式来避免私钥的传输

首先需要安装OpenSSL，这不是本教程主题，需要自行搜索教程

安装完成后，打开终端（CMD），输入下面命令生成私钥

1	openssl ecparam -genkey -name prime256v1 -out my_smime_key.key

这里私钥会生成在当前终端的工作目录下

然后是生成CSR

1	openssl req -new -key my_smime_key.key -out my_smime.csr

这里会提示输入Country Name、State or Province Name等等，这些都不是重要的，最重要的是Common Name和Email Address，需要填写申请页面中你的邮箱地址。

然后将my_smime.csr的内容复制到申请页面中的指定位置，点击申请按钮即可。

申请成功后就可以点击Download旁边的下载证书按钮下载了。

如果你觉得公钥私钥分离太麻烦，或者有导入到其他设备的需求，可以将其打包成一个.p12证书文件，包含了公钥和私钥。

Tips: WISeID上下载的CRT公钥文件仅包含当前签发证书，不包含完整信任链，建议制作时将中间证书一起打包，避免出现问题

先是不打包中间证书

1	openssl pkcs12 -export -out final.p12 -inkey my_smime_key.key -in <签发的公钥CRT证书文件>

最后就会生成一个final.p12文件，包含你的公钥和私钥，当然也可以加个-passout pass:123456给证书设置个密码

如果要打包中间证书，需要先从官网下载中间证书：https://public.wisekey.com/crt/wcidpersgbca4.cer

1	openssl pkcs12 -export -out final.p12 -inkey my_smime_key.key -in <签发的公钥CRT证书文件> -certfile <下载的中间证书CER文件>

这样生成的证书文件就包含了中间证书。

不知道为啥有效期是两年，我明明申请的是一年。

请妥善保管私钥，不要泄露，泄露后请及时Revoke。