在与银行进行API接口对接时安全是头等大事。您一定会遇到“提供P10文件”这个要求。本文将从零开始清晰解释P10是什么、为什么需要它、以及它如何在整个安全链条中发挥作用。一、P10文件是什么P10文件正式名称为证书签名请求CSR, Certificate Signing Request其标准为PKCS#10。您可以把它理解为【数字证书的申请表】。当您自己生成一对非对称加密的公钥和私钥后P10文件包含了以下核心内容您的公钥这是您要申请证书的核心。您的身份信息如公司名称CN、部门OU、组织O、国家C等。这些信息最终会体现在证书里。一个数字签名使用您自己的私钥对上述所有信息进行签名以证明您确实拥有与之配对的私钥。生成P10文件并不会影响您的私钥私钥始终安全地保存在您自己的服务器上。二、为什么需要P10文件—— 解决“信任”问题您自己生成的公钥在银行眼里只是一个无法验证的字符串。银行无法相信它真的属于您。这就需要一个有公信力的第三方来为您背书。这个流程就是您的公钥无信任 CFCA的签名信任 可信的数字证书您的作用生成P10文件证明您拥有私钥并声明您的身份。银行/CFCA的作用作为证书颁发机构CA验证您身份信息的真实性根据银行流程。验证通过后CFCA使用其高度保密的根私钥对您的公钥和身份信息进行签名生成一张数字证书。最终产物您获得了一张由CFCA签发的、包含您公钥的数字身份证。任何信任CFCA的系统都会自动信任这张证书。三、证书的用途对于您和银行分别有什么用这张数字证书是应用级证书主要用于API通信的双向认证和报文安全与配置网站HTTPS的服务器证书不同。对于银行而言银行将您的证书预先注册到其安全系统如SVS服务器中。此后银行系统验证您的身份当您调用银行接口时请求中会包含用您私钥生成的签名。银行使用系统中预存的您的证书里的公钥来验证此签名。验证通过即确认了“是您本人在操作”。给您发送加密信息当银行需要向您返回敏感数据时银行使用系统中预存的您的证书里的公钥来加密报文确保只有您能用您的私钥解密。对于您而言您需要从银行获取他们的公钥证书。您的核心作用是保管好您的私钥您的私钥用于两个核心操作签名用您的私钥对发送给银行的请求进行签名让银行能验证您的身份。解密用您的私钥解密银行用您公钥加密后返回的响应报文。使用银行的公钥您需要使用银行提供给您的公钥来加密要发送给银行的敏感数据确保只有银行才能解密。简单总结这是一个双向信任和加密的过程。您的证书让银行可信地获取您的公钥用于给您加密和验证您的签名银行的证书让您可信地获取银行的公钥用于给银行加密和验证银行的签名。四、证书会给到我吗—— 会的并且您也需要银行的证书是的银行或CFCA会最终将签发好的数字证书文件通常是.crt或.pem格式提供给您。同样银行也会将其公钥证书提供给您。这是一个双向交换的过程您给银行您的P10文件。银行给您由您的P10文件签发出的您的证书这份证书主要供银行后台使用您需要从中提取公钥或用于验证。银行的公钥证书这是您业务代码中加密所必需的。您收到这些证书后并不是直接把它配置到Web服务器上而是需要处理银行证书从银行提供的公钥证书中提取出公钥字符串配置到您的应用中用于加密发送给银行的数据和验证银行返回报文的签名。处理您的私钥将您最初生成的私钥转换成字符串配置到您的应用中用于为发送的请求签名和解密银行返回的报文。总结与流程回顾生成密钥对与P10您在本地生成SM2私钥和P10文件。私钥绝不泄露。提交P10获取证书将P10文件提交给银行。银行处理后将您的证书和银行的公钥证书提供给您。部署密钥您从银行的证书中提取出公钥字符串并从您的私钥文件中提取出私钥字符串配置到业务系统中。安全通信您发请求用银行的公钥加密 用您的私钥签名。银行收请求用您的公钥来自您的证书验签 用银行的私钥解密。银行发响应用您的公钥来自您的证书加密 用银行的私钥签名。您收响应用银行的公钥验签 用您的私钥解密。因此提供P10文件是建立与银行之间可信、安全通信通道的基石。它不是一个简单的形式步骤而是一套严谨的密码学信任体系的起点。最终双方都持有对方的可信公钥从而实现完全双向的安全通信。