阿里云SSL证书服务提供PCA(私有CA)服务,帮助您在无需自建和维护公共密钥基础设施(PKI)的情况下,以低投入的方式创建企业内部CA。本文介绍了通过SSL证书服务控制台创建私有CA(即购买PCA服务)的操作方法。

背景信息

私有CA分为根CA和子CA(即中间CA),子CA隶属于根CA,根CA下可以包含多个子CA。只有子CA可用于签发私有证书(包括服务端证书、客户端证书)。

首次创建私有CA时,您必须先创建根CA。创建根CA后,您将会获得一个根CA和一个子CA,且子CA默认包含10张证书资源(可以签发10张证书)。

后续您可以根据企业组织架构,在已有的根CA下继续创建多个子CA(例如,为企业内不同部门分别创建对应的子CA)或者在私有子CA下购买证书,增加子CA可以签发的证书数量。

创建私有根CA

首次创建私有CA时,您必须参照以下步骤,创建私有根CA。

  1. 登录SSL证书控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面上方,单击购买私有根CA
  4. 购买私有根CA面板,完成购买配置。购买私有根CA
    具体配置说明如下表所示。
    参数 说明
    商品模块 默认已选择PCA服务,表示为企业创建一套CA服务,供企业维护和管理证书。
    商品用途 默认已选择企业对内使用(无监管需求),表示适用于企业内部系统(例如,OA、HR系统)的网络通信需要采用加密技术,实现应用数据的安全传输、用户身份认证等目的。一般不涉及监管、行业规范等要求。
    商品规格 默认已选择创建根CA
    证书算法 选择通过私有CA签发证书时所使用的加密算法类型。

    可选项:RSASM(国密)ECC

    购买时长 选择服务使用时长。最短1个月
    说明
    • 您可以在PCA服务使用时长内,通过私有CA签发证书。服务到期后,私有CA将无法继续签发证书,即使支持签发的证书数量还有剩余。
    • 通过私有CA签发的私有证书的有效期最长不超过PCA服务的购买时长。例如,您购买了1个月的PCA服务,则通过私有CA签发的证书的有效期不超过30天。
  5. 单击立即购买
  6. 确认订单并完成支付。
    完成购买后,您可以在SSL证书控制台私有证书页面,查看已创建的私有CA。创建根CA后,您将会获得一个根CA和一个子CA,且根CA和子CA的状态默认都是未启用私有CA

后续步骤

创建私有CA后,您必须启用私有CA,才能使私有CA正式生效(可以用于签发私有证书)。关于启用私有CA的操作,请参见启用私有CA

相关操作

  • 创建私有子CA:已经创建并启用根CA后,您可以在根CA下继续创建多个子CA。
    说明
    • 在已有根CA下创建的子CA,默认不包含任何证书资源(即可以申请的证书个数为0),您需要在创建子CA后,为子CA购买证书。
    • 在已有根CA下创建子CA时,子CA的证书算法默认与根CA保持一致,不支持修改。
    操作方法:在私有CA列表中,定位到启用状态的根CA,单击操作列下的创建私有CA,并按照页面提示完成购买。创建私有CA
  • 购买证书:如果私有子CA包含的证书资源数量不能满足您的需求,您可以在私有子CA下购买证书,增加子CA能够签发的证书数量。
    操作方法:在私有CA列表中,定位到要购买证书的子CA,单击操作列下的购买证书,并按照页面提示完成购买。购买证书
  • 申请退款:私有CA在未启用的状态下,支持申请退款;如果已经启用,则不支持退款。
  • 续费私有CA:PCA服务到期后,私有CA将无法继续签发证书。您可以通过续费,延长服务时长。