本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
在数字证书管理服务控制台创建并启用私有CA或合规CA后,您可以通过子CA申请私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍如何配置私有证书。
背景信息
只有私有子CA或合规子CA可申请私有证书(即终端实体证书,包含服务端证书和客户端证书)。只有在服务端和客户端分别安装私有证书后,才可以在服务端和客户端之间建立可信通信。
首次配置流程
首次配置私有证书时,您需要按照下表中的流程操作。
CA类型 | 配置流程 |
私有CA | |
合规CA |
前提条件
购买私有证书
私有CA:创建私有根CA后,您将会获得一个根CA和一个子CA,且子CA默认包含10张证书资源。如果10张证书无法满足您的需求,您可以根据需要购买私有证书。
合规CA:购买及启用合规根CA后,您需要根据实际情况购买证书资源,才能签发私有证书。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标根CA,在操作列,单击购买证书。
在购买证书面板,输入您需要购买的证书数量,单击购买并完成支付。
说明对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
分配私有证书
根CA无法签发证书,只有子CA可以签发私有证书。在申请私有证书前,您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书:
根CA和子CA为启用状态。
根CA下的证书剩余数量不为0。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标根CA,在证书剩余数量/总数量列,单击分配证书。
在分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量,单击确定。
申请私有证书
只有在子CA的证书剩余数量不为0时,您才可以在子CA下申请私有证书。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击申请证书。
在申请证书面板,完成证书信息配置,单击确认申请。
提交证书申请后,私有CA证书会立即签发,合规CA证书需要经过后台审核,请您耐心等待,审核通过后证书即可签发。私有证书签发后,您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书信息。
服务端证书:用于安装到应用服务器。
客户端证书:用于安装到访问应用的客户端。
购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明。
购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。
如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。
服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。
最多支持添加10个SAN扩展属性。
密钥容器选择阿里云时,表示私有证书的密钥统一由阿里云进行管理。
密钥容器选择USBKey时,您可以通过在本地USBKey申请证书。申请证书前,您需要安装USBKey控件并在本地操作系统插入硬件USBKey。具体操作,请参见安装USBKey控件。
安装USBKey控件后,请您返回申请证书页面,并根据页面提示输入USBKey口令登录。
私有CA:
配置项 | 描述 |
证书类型 | |
公用名 (CN) | 私有证书主体的通用名称。 |
有效期 | 私有证书的有效期。 私有证书有效期时长与您购买的子CA服务时长有关,详情如下: |
扩展SAN | 私有证书的SAN扩展属性。 说明 SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。 URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。 |
更多设置 | 如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。 |
是否包含CRL地址 | 默认开启。关于CRL的更多信息,请参见CRL服务。 |
合规CA:
配置项 | 描述 |
姓名 | 私有证书拥有者姓名。 |
更多设置 | 如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。 |
USBKey仅支持Windows系统。
配置项 | 描述 |
姓名 | 私有证书拥有者姓名。 |
系统账号 | 如果用于登录阿里云控制台,请填写阿里账号ID;如果用于登录企业业务系统,请填写系统登录账号。 如何查看阿里云账号ID,请参见查看账号名称。 |
下载私有证书
通过子CA签发私有证书后,您可以下载私有证书,然后分发给对应的证书主体进行安装使用。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击下载。
说明如果您申请的是合规CA证书,且私钥算法为SM2,密钥容器为USBKey,则该私有证书不支持下载。
在证书下载对话框,选择需要下载的证书格式,单击确认并下载。
安装私有证书
下载私有证书后,您需要将服务端证书安装到应用服务器上,客户端证书安装至客户端浏览器。服务端证书安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作,请参见SSL证书安装指南。
如果您申请的是合规CA证书,且私钥算法为SM2,密钥容器为USBKey,请您参考以下步骤安装证书至硬件USBKey。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击安装证书。
在安装证书面板,系统会自动检测您本地系统硬件USBKey以及USBKey控件工具安装状态,检测通过后,单击安装。
USBKey控件以及驱动安装操作指导,请参见安装USBKey控件。
如果您的证书的安装环境复杂,需要一对一的技术指导,您可以购买证书部署服务。购买部署服务后,证书技术专家会协助您解决安装难题,快速完成证书安装。单击以下链接购买部署服务:
关于部署服务的更多信息,请参见购买证书申请协助和部署服务。上述部署服务会由证书技术专家远程指导您完成证书部署。如果需要现场部署服务,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
吊销私有证书
私有证书过期前,如果不再需要使用私有证书,您可以在数字证书管理服务控制台吊销该私有证书。
私有证书吊销、删除后,将不再被企业内部环境所信任,且无法恢复和重新启用,请您谨慎操作。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击吊销。
在确认对话框,单击吊销。
确认吊销后,该私有证书会立即被吊销。证书状态将变更为吊销,这时您可以从证书列表中删除该私有证书。