如何配置私有证书_数字证书管理服务（原SSL证书）-阿里云帮助中心

背景信息

只有私有子CA或合规子CA可申请私有证书（即终端实体证书，包含服务端证书和客户端证书）。只有在服务端和客户端分别安装私有证书后，才可以在服务端和客户端之间建立可信通信。

首次配置私有证书时，您需要按照下表中的流程操作。


CA类型	配置流程
私有CA	分配私有证书申请私有证书导出私有证书安装私有证书
合规CA	购买私有证书分配私有证书申请私有证书导出私有证书安装私有证书

已购买并启用私有CA或合规CA。相关操作，请参见购买及启用私有CA、购买及启用合规CA。

登录数字证书管理服务控制台。
在左侧导航栏，单击私有证书。
在私有CA或合规CA页签下，单击目标根CA操作列下的购买证书。
在购买证书面板，输入您需要购买的证书数量。

说明对于单个根CA，如果您累计购买的证书超过一定数量，数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值，请请联系产品技术专家进行咨询，详情请参见专家一对一服务。
单击购买并完成支付。

根CA无法签发证书，只有子CA可以签发私有证书。在申请私有证书前，您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书：

只有在子CA的证书剩余数量不为0时，您才可以在子CA下申请私有证书。

在申请证书面板，完成证书信息配置。

配置说明如下表所示。


参数	说明
证书类型	私有证书的类型。可选项：服务端证书：用于安装到应用的服务器。客户端证书：用于安装到访问应用的客户端浏览器。
公用名（CN）	私有证书主体的通用名称。
有效期	私有证书的有效期。
扩展SAN	私有证书的SAN扩展属性。如果该证书需要应用到多个主体，您可以通过 SAN 扩展添加其他主体的信息。服务端证书支持填写服务域名或服务器IP地址，客户端证书支持填写用户邮箱地址或 URI 。最多支持添加10个SAN扩展属性。
更多设置	如果您需要在证书中添加证书名称、公司和部门信息，您可以单击更多设置并配置以下参数。
证书名称	私有证书的名称。
公司（O）	使用私有证书的公司名称。
部门（OU）	使用私有证书的部门名称。

通过子CA签发私有证书后，您可以导出私有证书，然后分发给对应的证书主体进行安装使用。

登录数字证书管理服务控制台。
在左侧导航栏，单击私有证书。
在私有CA或合规CA页签下，单击目标子CA操作列下的证书列表。
在证书列表页面，单击目标私有证书操作列下的详情。
在证书详情面板，选中查看私钥内容。
在请输入密码文本框中，设置一个私钥加密密码，并单击导出。
私钥加密密码由8位字符组成，必须同时包含数字、英文大写字符和英文小写字符。该密码用于对您要导出的证书私钥进行加密，后续安装私有证书时（例如，执行OpenSSL命令操作），需要您使用此处设置的密码对私钥解密。建议您妥善保存该密码。

导出成功后，证书详情面板下方将会显示该私有证书的证书内容、证书链内容、私钥内容。
复制私有证书信息，分发给需要使用该私有证书的主体安装使用。

您需要将服务端证书安装到应用服务器上。安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作，请参见SSL证书安装指南。

说明如果您的证书的安装环境复杂，需要一对一的技术指导，您可以购买证书部署服务。购买部署服务后，证书技术专家会协助您解决安装难题，快速完成证书安装。单击以下链接购买部署服务：

关于部署服务的更多信息，请参见证书申请协助和部署服务。上述部署服务会由证书技术专家远程指导您完成证书部署。如果需要现场部署服务，请请联系产品技术专家进行咨询，详情请参见专家一对一服务。

安装证书链。

说明服务端证书均没有预安装到浏览器，需要客户端单独安装证书链，才能规避浏览器出现不安全提示。
1. 新建一个TXT文件，将证书链内容复制粘贴进去，并将文件保存为.cert格式。
2. 将.cert文件分发给要安装客户端证书的用户。
3. 用户在客户端双击.cert文件，即可将证书链安装到客户端浏览器。
安装证书。
1. 新建一个TXT文件，将证书内容复制粘贴进去，并将文件保存为.cert格式。
2. 将.cert文件分发给要安装客户端证书的用户。
3. 用户在客户端双击.cert文件，即可将证书安装到客户端浏览器。

私有证书过期前，如果不再需要使用私有证书，您可以在数字证书管理服务控制台吊销该私有证书。已吊销的私有证书将不再被企业内部环境所信任。