启用私有CA或合规CA后,您可以通过子CA签发私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍私有证书的购买、分配、申请、下载、安装和吊销操作。
背景信息
私有证书(即终端实体证书)包含服务端证书和客户端证书,只能由私有子CA或合规子CA签发。服务端和客户端分别安装对应的私有证书后,即可建立可信的加密通信。
首次配置流程
首次配置私有证书时,请按下表中的流程操作。
CA类型 | 配置流程 |
私有CA | |
合规CA |
前提条件
购买私有证书
私有CA:创建私有根CA后,系统默认分配一个根CA和一个子CA,子CA包含10张证书资源。如果证书数量不足,您可以额外购买。
合规CA:购买并启用合规根CA后,您需要单独购买证书资源才能签发私有证书。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标根CA,在操作列,单击购买证书。
在购买证书面板,输入需要购买的证书数量,单击购买并完成支付。
说明单个根CA累计购买的证书数量超过一定阈值后,超出部分将减免费用。具体减免阈值,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
分配私有证书
根CA无法直接签发证书,您需要先将根CA的证书资源分配给子CA。分配前,根CA和子CA须同时满足以下条件:
根CA和子CA均处于启用状态。
根CA的证书剩余数量大于0。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标根CA,在证书剩余数量列,单击分配证书。
在分配证书面板,选择目标子CA并设置证书剩余数量,单击确定。
申请私有证书
子CA的证书剩余数量大于0时,您才可以通过该子CA申请私有证书。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击申请证书。
在申请证书面板,填写证书配置信息,单击确认申请。
提交申请后,私有CA证书将立即签发,合规CA证书需经后台审核,审核通过后方可签发。证书签发后,您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书。
服务端证书:安装到应用服务器,用于服务端身份认证。
客户端证书:安装到客户端,用于客户端身份认证。
服务时长<1年:证书有效期不能超过已购买的PCA服务时长。例如,购买了1个月的PCA服务,可签发的证书最长有效期不超过31天。如需更长有效期,请通过续费延长PCA服务时长。续费操作,请参见续费说明。
服务时长≥1年:证书有效期范围为1~100年。
如果证书需要应用到多个主体,可通过SAN扩展添加其他主体信息。
服务端证书支持填写域名或IP地址,客户端证书支持填写邮箱地址或URI。
最多支持10个SAN扩展属性。
密钥容器选择阿里云时,私有证书的密钥由阿里云统一管理。
密钥容器选择USBKey时,您可以通过本地USBKey申请证书。申请前,需安装USBKey控件并在本地操作系统插入硬件USBKey。具体操作,请参见安装USBKey控件。
安装USBKey控件后,返回申请证书页面,根据页面提示输入USBKey口令完成登录。
私有CA:
配置项 | 描述 |
证书类型 | |
公用名 (CN) | 证书主体的通用名称(Common Name)。 |
有效期 | 私有证书的有效期。 有效期与子CA服务时长相关: |
扩展SAN | 证书的SAN扩展属性,用于将证书应用到多个主体。 说明 SAN(Subject Alternative Name)是SSL标准X509中定义的扩展字段,允许一张证书支持多个不同域名的解析。 URI(Uniform Resource Identifier)是统一资源标识符,用于标识证书归属的阿里云资源,例如私有证书部署的云服务器ECS。 |
更多设置 | 如需在证书中添加证书名称、公司或部门信息,单击更多设置进行配置。 |
是否包含CRL地址 | 默认开启。关于CRL的更多信息,请参见CRL服务。 |
合规CA:
配置项 | 描述 |
姓名 | 私有证书拥有者姓名。 |
更多设置 | 如需在证书中添加证书名称、公司或部门信息,单击更多设置进行配置。 |
USBKey仅支持Windows系统。
配置项 | 描述 |
姓名 | 私有证书拥有者姓名。 |
系统账号 | 用于登录阿里云控制台时,填写阿里云账号ID;用于登录企业业务系统时,填写系统登录账号。 查看阿里云账号ID的方法,请参见修改账号基本信息。 |
下载私有证书
证书签发后,您可以下载私有证书并分发给对应的证书主体进行安装。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击下载。
说明合规CA证书且私钥算法为SM2、密钥容器为USBKey时,不支持下载。
在证书下载对话框,选择证书格式,单击确认并下载。
安装私有证书
下载私有证书后,将服务端证书安装到应用服务器,客户端证书安装到客户端浏览器。服务端证书的安装方法与SSL证书相同,具体操作请参见部署SSL证书。
合规CA证书且私钥算法为SM2、密钥容器为USBKey时,请按以下步骤安装证书至硬件USBKey。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击安装证书。
在安装证书面板,系统自动检测本地硬件USBKey及控件安装状态,检测通过后单击安装。
USBKey控件及驱动的安装方法,请参见安装USBKey控件。
如果证书安装环境较为复杂,需要一对一技术指导,您可以购买证书部署服务。购买后,证书技术专家将协助您完成证书安装。单击以下链接购买部署服务:
关于部署服务的更多信息,请参见购买证书申请协助和部署服务。上述部署服务由证书技术专家远程指导完成。如需现场部署服务,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
吊销私有证书
私有证书过期前,如果不再需要使用,您可以将其吊销。
私有证书吊销或删除后,将不再被企业内部环境信任,且无法恢复或重新启用,请谨慎操作。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA或合规CA页签,定位到目标子CA,在操作列,单击证书列表。
在证书列表页面,定位到目标私有证书,在操作列,单击吊销。
在确认对话框,单击吊销。
确认后,证书将立即被吊销。证书状态变更为吊销,此时您可以从证书列表中删除该证书。