私有CA通常适用于企业内部(不涉及监管、行业规范等要求)应用数据需要加密的场景,例如,内部的OA、HR等系统。本文介绍如何购买及启用私有CA服务。
私有 CA 选型
在开始之前,请根据业务需求选择合适的私有CA类型。PCA服务提供企业私有 CA和阿里云共享 CA两种类型,它们在自定义能力、启用方式、架构灵活性和成本方面有显著差异。
对比项 | 企业私有 CA | 阿里云共享 CA |
CA 自定义能力 | 支持。可完全自定义根CA及各级子CA的颁发者身份、组织等信息。 | 不支持。与其他用户共享由阿里云创建并管理的根CA。 |
启用方式 | 手动启用。购买后需要手动配置并启用根CA和子CA。 | 自动启用。购买后默认启用根CA和子CA,可直接使用。 |
组织架构支持 | 支持。可创建多级中间CA,以匹配复杂的企业部门或组织层级。 | 不支持。无法创建多级CA架构,结构扁平。 |
成本 | 成本较高,适合对CA有强管控和品牌自定义需求的大型企业。 | 成本较低,适合需要快速、低成本为内部应用加密的场景。 |
企业私有CA
企业私有CA的根或中间根由企业自主创建(即可以自定义根CA或中间CA的颁发者身份和归属组织等信息),且企业私有CA可以创建多级中间CA,满足企业多级组织架构需求。
步骤一:购买私有根CA
首次创建私有CA时,必须先购买私有根CA。
每个根 CA 实例包含:1 个根 CA、1 个子 CA 及 10 个赠送的私有证书额度。赠送额度的使用规则如下:
额度使用期限:须在购买之日起 30 天内使用额度签发证书;逾期未使用的额度将失效并被清除。
证书有效期:使用赠送额度签发的证书,自签发之日起有效期为 30 天,且不随根 CA 续费而延长。另行购买的私有证书,其有效期可自定义。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,单击购买私有根CA。
在购买私有根CA面板,完成购买配置。
关键配置项
描述
扩展密钥用法
默认已选择企业对内使用(无监管需求),表示适用于企业内部系统(例如,OA、HR系统)的网络通信需要采用加密技术,实现应用数据的安全传输、用户身份认证等目的。一般不涉及监管、行业规范等要求。
商品规格
选择创建CA证书。
证书算法
签发证书时所使用的加密算法类型。
可选项:RSA算法、SM(国密)、ECC。
购买时长
选择服务使用时长。
服务购买时长<1年,启用根CA时,有效期最大可设置为20年。
服务购买时长>=1年,启用根CA时,有效期最大可设置为100年。
说明仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。
仔细阅读并勾选服务协议,单击立即购买并完成支付。
步骤二:启用私有根CA和子CA
购买私有根CA后,需依次启用根CA和子CA。只有启用根CA后,才能启用根CA下的子CA。
启用根CA
在私有CA页签,定位到目标根CA,在操作列,单击启用。
在CA信息面板,配置根CA的信息,单击确认并启用。
数字证书管理服务支持多种方式启用根CA,请根据业务需求选择不同的方式,具体配置如下:
创建CA证书
配置项
描述
启用方式
选择创建CA证书。
公用名 (CN)
该CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。
示例:阿里云。
组织部门 (OU)
该CA关联的组织部门的名称。支持使用中文或者英文。
示例:IT部。
组织机构 (O)
该CA关联的组织机构的名称。支持使用中文或者英文。
示例:阿里云计算有限公司。
城市名称 (L)
组织机构所在城市名称。支持使用中文或者英文。
示例:杭州。
省名称 (S)
组织机构所在省份名称。支持使用中文或者英文。
示例:浙江。
国家/地区 (C)
组织机构所在国家或地区名称。支持使用中文或者英文。
私钥算法
该CA使用的私钥加密算法。
根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:
如果CA加密算法是RSA算法,则此处私钥算法的可选项包括:RSA_1024、RSA_2048、RSA_4096。
如果CA加密算法是SM(国密),则此处私钥算法的可选项包括:私钥算法。
如果CA加密算法是私钥算法,则此处私钥算法的可选项包括:ECC_256、ECC_384、私钥算法。
有效期
根CA的有效时长。
根CA的有效期时长与您购买的根CA服务时长有关,详情如下:
购买根CA服务时长<1年,根CA支持的有效期范围为1~20年。
购买根CA服务时长>=1年,根CA支持的有效期范围为1~100年。
说明仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。
是否启用CRL服务
是否开启CRL(Certificate Revocation List)服务,开启后,您可以通过CRL查看已吊销的CA证书信息。更多信息,请参见CRL服务。
上传CA证书及密钥
配置项
描述
启用方式
选择上传CA证书及密钥。
证书文件
填写证书文件内容的PEM编码。
您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。
证书私钥
填写证书私钥内容的PEM编码。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
使用密码机
配置项
描述
启用方式
选择使用密码机。
密码机集群
选择密码机集群实例。
重要仅支持上海地域的密码机集群。
如需新建密码机集群,请单击创建密码机集群(仅支持上海地域),且务必满足以下配置要求:
地域:选择华东2(上海)。
密码服务类型:选择通用服务器密码机。
使用密码机:选择是。
交换机:仅支持可用区
cn-shanghai-b和可用区cn-shanghai-g下的交换机。
其他配置按需选择后,单击立即购买后即可。
公用名 (CN)
该CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。
示例:阿里云。
组织部门 (OU)
该CA关联的组织部门的名称。支持使用中文或者英文。
示例:IT部。
组织机构 (O)
该CA关联的组织机构的名称。支持使用中文或者英文。
示例:阿里云计算有限公司。
城市名称 (L)
组织机构所在城市名称。支持使用中文或者英文。
示例:杭州。
省名称 (S)
组织机构所在省份名称。支持使用中文或者英文。
示例:浙江。
国家/地区 (C)
组织机构所在国家或地区名称。支持使用中文或者英文。
示例:中国。
私钥算法
该CA使用的私钥加密算法。
根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:
如果CA加密算法是RSA算法,则此处私钥算法的可选项包括:RSA_1024、RSA_2048、RSA_4096。
如果CA加密算法是私钥算法,则此处私钥算法的可选项包括:SM2_256。
如果CA加密算法是算法,则此处私钥算法的可选项包括:密钥算法、私钥算法、ECC_512。
有效期
根CA的有效时长。
根CA的有效期时长与您购买的根CA服务时长有关,详情如下:
购买根CA服务时长<1年,根CA支持的有效期范围为1~20年。
购买根CA服务时长>=1年,根CA支持的有效期范围为1~100年。
说明仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。
是否启用CRL服务
是否开启CRL(Certificate Revocation List)服务,开启后,您可以通过CRL查看已吊销的CA证书信息。更多信息,请参见CRL服务。
在提示对话框确认信息后,单击确定。
成功启用根CA后,根CA的状态将变更为启用。如果根CA信息填写有误需要修改,您可以重置该CA,具体操作,请参见重置私有CA。
启用子CA
在私有CA页签,定位到目标根CA,单击根CA名称处的
图标。定位到目标子CA,在操作列,单击启用。
在CA信息面板,配置子CA的信息,单击确认并启用。
数字证书管理服务支持多种方式启用子CA,请根据业务需求选择不同的方式,具体配置如下:
创建CA证书
配置项
描述
启用方式
选择创建CA证书。
中间CA用途
根据子CA用途,选择中间CA或用户CA。
中间CA:可用于颁发下属CA。
用户CA:只能用于颁发用户证书,例如服务端证书、客户端证书等。
长度限制
中间CA用途选择中间CA时,需配置中间CA长度,表示中间CA可以颁发下属CA的最大长度。
取值为1~5。
重要长度限制为1,则下属CA为用户CA。
公用名 (CN)
该CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。
示例:阿里云。
组织部门 (OU)
该CA关联的组织部门的名称。支持使用中文或者英文。
示例:IT部。
组织机构 (O)
该CA关联的组织机构的名称。支持使用中文或者英文。
示例:阿里云计算有限公司。
城市名称 (L)
组织机构所在城市名称。支持使用中文或者英文。
示例:杭州。
省名称 (S)
组织机构所在省份名称。支持使用中文或者英文。
示例:浙江。
国家/地区 (C)
组织机构所在国家或地区名称。支持使用中文或者英文。
示例:中国。
私钥算法
该CA使用的私钥加密算法。
根据您在购买该PCA服务时选择的私钥算法不同,此处支持选择私钥算法也不同。具体说明如下:
如果CA加密算法是RSA算法,则此处私钥算法的可选项包括:RSA_1024、RSA_2048、私钥算法。
如果CA加密算法是SM2算法,则此处私钥算法的可选项包括:SM2算法。
如果CA加密算法是私钥算法,则此处私钥算法的可选项包括:私钥算法、算法、ECC_512。
有效期
子CA的有效期时长。
子CA的有效期时长与您购买的私有子CA时长有关,详情如下:
购买的时长<1年,子CA有效期范围为1~20年。
购买的时长>=1年,子CA有效期范围为1~100年。
是否启用CRL服务
是否开启CRL服务,开启后,您可以通过CRL查看已吊销的CA证书信息。关于CRL的更多信息,请参见CRL服务。
扩展密钥用法
选择扩展密钥用法,即证书标识,便于您进行区分。
上传CA证书及密钥
配置项
描述
启用方式
选择上传CA证书及密钥。
证书文件
填写证书文件内容的PEM编码。
您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。
证书私钥
填写证书私钥内容的PEM编码。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
在提示对话框确认信息后,单击确定。
成功启用子CA后,子CA的状态将变更为启用。如果子CA信息填写有误需要修改,您可以重置该CA,具体操作,请参见重置私有CA。
步骤三:(可选)购买私有子CA
您可以根据企业组织架构,在已有的根CA下继续创建多个子CA(例如,为企业内不同部门分别创建对应的子CA)。新购买的子CA默认不包含任何证书资源。
在私有CA页签,定位到目标根CA,在操作列,单击创建私有子CA。
在创建私有子CA面板,完成购买配置。
重要子CA使用的算法需和根CA一致,不支持修改。
仔细阅读并勾选服务协议,单击立即购买并完成支付。
步骤四:配置私有证书
完成购买及启用私有CA的操作后,需要配置私有证书。具体操作,请参见购买及分配私有证书额度。
阿里云共享CA
阿里云共享CA指阿里云所有用户共用由阿里云创建的根CA和中间CA,不支持自定义根CA或中间CA的颁发者身份和归属组织等信息,且不能创建多级中间CA。
共享 CA 仅适用于阿里云内产品之间的调用场景(例如:云防火墙)。若业务对证书隔离性与可控性要求较高,建议选择企业私有CA。
步骤一:购买阿里云共享CA
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,单击购买私有根CA。
在购买私有根CA面板,完成购买配置。
关键配置项
描述
商品用途
选择企业对内使用(无监管需求)。
商品规格
选择中间CA。
证书算法
选择签发证书时所使用的加密算法类型。
可选项:RSA、SM(国密)、ECC。
购买时长
选择PCA服务使用时长。最短1个月,最长2年。
说明仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。
仔细阅读并勾选服务协议,单击立即购买并完成支付。
步骤二:配置私有证书
完成购买及启用私有CA的操作后,您需要配置私有证书。具体操作,请参见管理私有证书。