向第三方机构申请证书

商用场景下，需要选择向第三方机构申请证书。步骤如下。

1. 客户自行制作开发环境、运行环境的私钥和证书请求文件。
2. 客户自行向第三方机构提交证书请求文件。
3. 客户自行向第三方机构获取：根CA，中级CA，公钥证书。

   申请的证书需满足以下条件：

   • CA证书级数最少2级，最多14级。
   • CA证书中必须包括keyUsage字段，该字段至少包括如下内容。

     X509v3 Key Usage:
     Certificate Sign

   • 私钥：支持RSA私钥，长度[3072, 4096]，私钥必须为密文，且加密算法仅支持AES128，AES256。
   • 签名的HASH算法：最低要求为SHA256。
   • 证书签发者名称：最大长度为180个字节。
   • 主题信息中的CN：建议使用设备序列号。
   • 只支持pem类型的证书和私钥。
   • 证书必须是X.509 V3数字证书。
   • 公钥证书的X509v3 extensions项目中必须包含。

     X509v3 Subject Alternative Name:
     IP Address:10.XX.XX.XX

     其中10.XX.XX.XX为开发环境和运行环境的IP地址。

   • 证书过期时间：出于安全考虑建议365天。