管理私有证书

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

在数字证书管理服务控制台创建并启用私有CA或合规CA后,您可以通过子CA申请私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍如何配置私有证书。

背景信息

只有私有子CA或合规子CA可申请私有证书(即终端实体证书,包含服务端证书和客户端证书)。只有在服务端和客户端分别安装私有证书后,才可以在服务端和客户端之间建立可信通信。

首次配置流程

首次配置私有证书时,您需要按照下表中的流程操作。

CA类型

配置流程

私有CA

  1. 分配私有证书

  2. 申请私有证书

  3. 下载私有证书

  4. 安装私有证书

合规CA

  1. 购买私有证书

  2. 分配私有证书

  3. 申请私有证书

  4. 下载私有证书

  5. 安装私有证书

前提条件

已购买并启用私有CA或合规CA。相关操作,请参见购买及启用私有CA购买及启用合规CA

购买私有证书

  • 私有CA:创建私有根CA后,您将会获得一个根CA和一个子CA,且子CA默认包含10张证书资源。如果10张证书无法满足您的需求,您可以根据需要购买私有证书。

  • 合规CA:购买及启用合规根CA后,您需要根据实际情况购买证书资源,才能签发私有证书。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA合规CA页签,定位到目标根CA,在操作列,单击购买证书

  4. 购买证书面板,输入您需要购买的证书数量,单击购买并完成支付。

    说明

    对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,请联系产品技术专家进行咨询,详情请参见专家一对一服务

分配私有证书

根CA无法签发证书,只有子CA可以签发私有证书。在申请私有证书前,您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书:

  • 根CA和子CA为启用状态。

  • 根CA下的证书剩余数量不为0。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA合规CA页签,定位到目标根CA,在证书剩余数量/总数量列,单击分配证书

  4. 分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量,单击确定

申请私有证书

只有在子CA的证书剩余数量不为0时,您才可以在子CA下申请私有证书。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA合规CA页签,定位到目标子CA,在操作列,单击申请证书

  4. 申请证书面板,完成证书信息配置,单击确认申请

    提交证书申请后,私有CA证书会立即签发,合规CA证书需要经过后台审核,请您耐心等待,审核通过后证书即可签发。私有证书签发后,您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书信息。

  5. 私有CA:

    配置项

    描述

    证书类型

    • 服务端证书:用于安装到应用服务器。

    • 客户端证书:用于安装到访问应用的客户端。

    公用名 (CN)

    私有证书主体的通用名称。

    有效期

    私有证书的有效期。

    私有证书有效期时长与您购买的子CA服务时长有关,详情如下:

    • 购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明

    • 购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。

    扩展SAN

    私有证书的SAN扩展属性。

    • 如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。

    • 服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。

    • 最多支持添加10个SAN扩展属性。

    说明

    SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

    URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。

    更多设置

    如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。

    是否包含CRL地址

    默认开启。关于CRL的更多信息,请参见CRL服务

    合规CA:

    • 密钥容器选择阿里云时,表示私有证书的密钥统一由阿里云进行管理。

    • 配置项

      描述

      姓名

      私有证书拥有者姓名。

      更多设置

      如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。

    • 密钥容器选择USBKey时,您可以通过在本地USBKey申请证书。申请证书前,您需要安装USBKey控件并在本地操作系统插入硬件USBKey。具体操作,请参见安装USBKey控件

      安装USBKey控件后,请您返回申请证书页面,并根据页面提示输入USBKey口令登录。

    • 重要

      USBKey仅支持Windows系统。

      配置项

      描述

      姓名

      私有证书拥有者姓名。

      系统账号

      如果用于登录阿里云控制台,请填写阿里账号ID;如果用于登录企业业务系统,请填写系统登录账号。

      如何查看阿里云账号ID,请参见查看账号名称

下载私有证书

通过子CA签发私有证书后,您可以下载私有证书,然后分发给对应的证书主体进行安装使用。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA合规CA页签,定位到目标子CA,在操作列,单击证书列表

  4. 证书列表页面,定位到目标私有证书,在操作列,单击下载

    说明

    如果您申请的是合规CA证书,且私钥算法为SM2,密钥容器为USBKey,则该私有证书不支持下载。

  5. 证书下载对话框,选择需要下载的证书格式,单击确认并下载

安装私有证书

下载私有证书后,您需要将服务端证书安装到应用服务器上,客户端证书安装至客户端浏览器。服务端证书安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作,请参见SSL证书安装指南

如果您申请的是合规CA证书,且私钥算法为SM2,密钥容器为USBKey,请您参考以下步骤安装证书至硬件USBKey。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 合规CA页签,定位到目标子CA,在操作列,单击证书列表

  4. 证书列表页面,定位到目标私有证书,在操作列,单击安装证书

  5. 安装证书面板,系统会自动检测您本地系统硬件USBKey以及USBKey控件工具安装状态,检测通过后,单击安装

    USBKey控件以及驱动安装操作指导,请参见安装USBKey控件

说明

如果您的证书的安装环境复杂,需要一对一的技术指导,您可以购买证书部署服务。购买部署服务后,证书技术专家会协助您解决安装难题,快速完成证书安装。单击以下链接购买部署服务:

关于部署服务的更多信息,请参见购买证书申请协助和部署服务。上述部署服务会由证书技术专家远程指导您完成证书部署。如果需要现场部署服务,请联系产品技术专家进行咨询,详情请参见专家一对一服务

吊销私有证书

私有证书过期前,如果不再需要使用私有证书,您可以在数字证书管理服务控制台吊销该私有证书。

警告

私有证书吊销、删除后,将不再被企业内部环境所信任,且无法恢复和重新启用,请您谨慎操作。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA合规CA页签,定位到目标子CA,在操作列,单击证书列表

  4. 证书列表页面,定位到目标私有证书,在操作列,单击吊销

  5. 确认对话框,单击吊销

    确认吊销后,该私有证书会立即被吊销。证书状态将变更为吊销,这时您可以从证书列表中删除该私有证书。