阿里云数字证书管理服务提供PCA(私有CA)服务,帮助您在无需自建和维护公共密钥基础设施(PKI)的情况下,以低投入的方式创建企业内部CA。本文介绍了通过数字证书管理服务控制台创建私有CA(即购买PCA服务)的操作方法。

背景信息

私有CA分为根CA和子CA(即中间CA),子CA隶属于根CA,根CA下可以包含多个子CA。只有子CA可用于签发私有证书(包括服务端证书、客户端证书)。

首次创建私有CA时,您必须先创建根CA。创建根CA后,您将会获得一个根CA和一个子CA,且子CA默认包含10张证书资源(可以签发10张证书)。

后续您可以根据企业组织架构,在已有的根CA下继续创建多个子CA(例如,为企业内不同部门分别创建对应的子CA)或者在私有子CA下购买证书,增加子CA可以签发的证书数量。

创建私有根CA

首次创建私有CA时,您必须参照以下步骤,创建私有根CA。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面上方,单击购买私有根CA
  4. 购买私有根CA面板,完成购买配置。购买私有根CA
    具体配置说明如下表所示。
    参数 说明
    商品模块 默认已选择PCA服务,表示为企业创建一套CA服务,供企业维护和管理证书。
    商品用途 默认已选择企业对内使用(无监管需求),表示适用于企业内部系统(例如,OA、HR系统)的网络通信需要采用加密技术,实现应用数据的安全传输、用户身份认证等目的。一般不涉及监管、行业规范等要求。
    商品规格 默认已选择创建根CA
    证书算法 选择通过私有CA签发证书时所使用的加密算法类型。

    可选项:RSASM(国密)ECC

    购买时长 选择服务使用时长。最短1个月
    说明
    • 您可以在PCA服务使用时长内,通过私有CA签发证书。服务到期后,私有CA将无法继续签发证书,即使支持签发的证书数量还有剩余。
    • 通过私有CA签发的私有证书的有效期最长不超过PCA服务的购买时长。例如,您购买了1个月的PCA服务,则通过私有CA签发的证书的有效期不超过30天。
  5. 单击立即购买
  6. 确认订单并完成支付。
    完成购买后,您可以在数字证书管理服务控制台私有证书页面,查看已创建的私有CA。创建根CA后,您将会获得一个根CA和一个子CA,且根CA和子CA的状态默认都是未启用私有CA

后续步骤

创建私有CA后,您必须启用私有CA,才能使私有CA正式生效(可以用于签发私有证书)。关于启用私有CA的操作,请参见启用私有CA

相关操作

  • 创建私有子CA:已经创建并启用根CA后,您可以在根CA下继续创建多个子CA。
    说明
    • 在已有根CA下创建的子CA,默认不包含任何证书资源(即可以申请的证书个数为0),您需要在创建子CA后,为子CA分配证书。
    • 在已有根CA下创建子CA时,子CA的证书算法默认与根CA保持一致,不支持修改。
    操作方法:在私有CA列表中,定位到启用状态的根CA,单击操作列下的创建私有CA,并按照页面提示完成购买。创建私有CA
  • 购买证书:如果私有根CA包含的证书资源数量不能满足您的需求,您可以在私有根CA下购买证书,增加根CA能够签发的证书数量。
    操作方法:在私有CA列表中,定位到要购买证书的根CA,单击操作列下的购买证书,在购买证书面板输入需要购买的证书数量,单击购买并完成支付。购买证书
    说明 对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,您可以搜索钉钉群(群号为32435999)并加入该群咨询。
  • 分配证书:购买证书后,您可以在私有根CA处,给不同的子CA分配证书。
    根CA和子CA需要同时满足以下条件才能成功分配证书:
    • 根CA为启用状态。
    • 根CA下的证书剩余数量不为0。
    • 子CA为启用状态。
    操作方法:在私有CA列表中,定位到需要分配证书的根CA,单击证书剩余数量/总数量列下的分配证书,在分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量,然后单击确定分配证书面板
  • 申请退款:私有CA在未启用的状态下,支持申请退款;如果已经启用,则不支持退款。
  • 续费私有CA:PCA服务到期后,私有CA将无法继续签发证书。您可以通过续费,延长服务时长。