阿里云数字证书管理服务支持PCA(Private Certificate Authority,即私有CA)服务,使您可以通过简单的可视化操作,搭建企业自己的私有证书平台,实现在企业内部签发和管理自签名私有证书,用于企业内部的应用身份认证和数据加解密。
应用场景
| 应用场景类型 | 应用场景描述 | 需使用的私有证书 |
|---|---|---|
| 企业对内使用 | 一般用于不涉及监管、行业规范等要求,仅涉及企业内部应用数据需要密码技术提供加密的场景。企业内部应用(例如,内部的OA、HR等系统)可以使用PCA服务的密码技术进行应用间数据安全传输、数据加解密和身份认证。 | 私有CA |
| 企业合规使用 | 一般应用于密码应用安全性评估或者要求满足电子认证服务相关要求的场景,例如,银企直连、电子签名等。 | 合规CA |
私有CA使用流程
私有CA为阿里云提供的私有证书服务。通过在数字证书管理服务控制台购买私有根CA和子CA,您可以搭建企业内部的私有证书平台,实现自主管理企业内部应用的证书。在一个根CA下,您可以根据企业的组织架构,购买多个子CA,实现不同部门私有证书的分类管理。
| 步骤 | 操作说明 | 操作指导 | 该环节如何撤销? |
|---|---|---|---|
| 1 | 创建一个私有CA(购买PCA服务)。
首次创建必须创建根CA,获得一个私有根CA和一个私有子CA(即中间CA)。后续可以在已有根CA下创建多个子CA。 |
购买私有根CA | 创建私有CA后,未启用状态的私有CA支持申请退款;私有CA退款成功后,可以将其从CA列表中删除。
相关操作,请参见私有CA退款。 注意 如果私有CA已经启用,将不支持申请退款。
|
| 2 | 启用私有CA。
首次启用必须先启用根CA,再启用子CA。 |
启用私有CA | 启用状态的CA支持吊销;吊销CA后,可以将其从CA列表中删除。
相关操作,请参见吊销私有CA或合规CA。 注意 吊销已启用的CA不支持退款。
|
| 3 | 分配证书
首次使用必须先分配证书,才能使用已分配的证书额度申请私有证书。 |
分配私有证书 | 不支持撤销。 |
| 4 | 通过已启用的私有子CA,申请私有用户证书。
根CA只用于签发子CA。只有子CA可以签发私有证书(包括服务端证书和客户端证书)。 |
申请私有证书 | 正常状态的私有证书支持吊销;吊销私有证书后,可以将其从证书列表中删除。
具体操作,请参见吊销私有证书。 |
| 5 | 导出私有证书,分发给具体用户安装使用。
服务端证书需要安装到服务器,客户端证书需要安装到客户端浏览器。 |
导出私有证书 | 无。 |
合规CA使用流程
合规CA为第三方CA机构提供私有证书服务(包括根CA和子CA)。一个合规根CA下仅包含一个子CA,不支持在根CA下购买子CA。
| 步骤 | 操作说明 | 操作指导 | 该环节如何撤销 |
|---|---|---|---|
| 1 | 购买合规子CA。
首次使用,必须先购买合规子CA。购买合规子CA后,会自动生成合规根CA。 |
购买合规子CA | 购买合规CA后,状态为未启用的合规CA支持申请退款;合规CA退款成功后,可以将其从CA列表中删除。具体操作,请参见吊销私有CA或合规CA。
注意 合规CA启用后,不支持申请退款。
|
| 2 | 启用合规CA。
启用合规根CA后,会自动生成并启用合规子CA。 |
启用合规CA | 状态为启用的合规CA支持吊销;吊销CA后,可以将其从CA列表中删除。
注意 吊销后的合规CA不支持退款。
|
| 3 | 购买私有证书。
在使用私有证书前,您需要先购买私有证书。 |
购买私有证书 | 如未使用订单中包含的私有证书额度,可以申请退款。具体操作,请参见退款说明。 |
| 4 | 分配私有证书。
在使用私有证书前,您需要将根CA的证书额度分配给子CA,才能使用子CA签发私有证书。 |
分配私有证书 | 不支持撤销。 |
| 5 | 通过已启用的合规子CA,申请私有证书。
根CA只用于签发子CA。只有子CA可以签发私有证书(包括服务端证书和客户端证书)。 |
申请私有证书 | 正常状态的私有证书支持吊销;吊销私有证书后,可以将其从证书列表中删除。
具体操作,请参见吊销私有证书。 |
| 6 | 导出私有证书,分发给用户安装使用。
服务端证书需要安装到服务器,客户端证书需要安装到客户端浏览器。 |
导出私有证书 | 无。 |