管理证书应用仓库中的证书

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

在成功创建证书应用仓库之后,您可以通过调用证书API或使用控制台来管理仓库中的证书。具体操作包括证书上传、申请、吊销和删除等。此外,您还可以通过调用证书应用仓库API,使用仓库中的证书对数据进行加解密,或对电子合同进行签名、验签等操作。

前提条件

已创建证书应用仓库。具体操作,请参见创建并管理证书应用仓库

通过控制台管理仓库证书

数字证书管理服务,您可以对证书应用仓库中的证书进行管理,具体操作包括查看证书详情、申请或上传证书、吊销证书、下载证书以及删除证书等。

管理入口

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书及域名应用服务 > 证书应用仓库

  3. 证书应用仓库页面,单击目标证书应用仓库。

  4. 证书管理页面,管理证书应用仓库中的证书。

阿里云私有证书仓库(申请证书)

  1. 证书管理页面,单击申请证书

  2. 申请证书面板,参考下表填写私有证书信息,单击确认申请

    配置项

    描述

    证书类型

    • 服务端证书:用于安装到应用服务器。

    • 客户端证书:用于安装到访问应用的客户端。

    公用名 (CN)

    私有证书主体的通用名称。

    有效期

    私有证书的有效期。

    私有证书有效期时长与您购买的子CA服务时长有关,详情如下:

    • 购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明

    • 购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。

    扩展SAN

    私有证书的SAN扩展属性。

    • 如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。

    • 服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。

    • 最多支持添加10个SAN扩展属性。

    说明

    SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

    URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。

    更多设置

    如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。

    CRL状态

    表示创建子CA时是否开启了CRL(Certificate Revocation List)。关于CRL的更多信息,请参见CRL服务

阿里云合规证书仓库(申请证书)

  1. 证书管理页面,单击申请证书

  2. 申请证书面板,参考下表填写合规证书信息,单击确认申请

    配置项

    说明

    姓名

    证书拥有者姓名。

    更多设置

    如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。

上传证书仓库(上传证书)

  1. 证书管理页面,单击上传证书

  2. CA信息面板,配置证书参数,单击确认并启用

    配置项

    说明

    名称

    为要上传的证书设置一个名称。

    支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。

    证书文件

    填写证书文件内容(PEM编码)。

    您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。

    证书私钥

    填写证书私钥内容的PEM编码。支持以下几种方式:

    • 手动填写:使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。

    • 上传本地证书私钥文件:单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

    • 选择已有的CSR(Certificate Signing Request):支持选择通过数字证书管理控制台创建或上传的CSR,且系统会自动匹配对应证书文件的CSR。CSR相关操作和说明,请参见管理CSR

    说明

    如果您在上传证书相关文件后收到证书与私钥不匹配的提示,可能是因为您的私钥文件包含了RSA字符。您可以使用openssl rsa -in <原私钥文件名> -out <自定义现私钥文件名>命令将其转换后再进行上传。

上传CA证书仓库(上传证书)

  1. 证书管理页面,单击上传证书

  2. CA信息面板,配置证书参数,单击确认并启用

    配置项

    说明

    名称

    为要上传的CA文件设置一个名称。

    支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。

    CA文件

    填写包含完整证书链的证书文件内容(PEM编码)。

    您可以使用文本编辑工具打开PEM或者CRT格式的CA文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的CA文件,将文件内容上传到文本框。

    说明

    如果证书链不完整,当在阿里云负载均衡配置HTTPS监听选择该CA证书后,会导致负载均衡和客户端建立加密连接失败。负载均衡HTTPS监听配置,请参见添加HTTPS监听(ALB)添加TCPSSL监听(NLB)添加HTTPS监听(CLB)

查看、下载、吊销、删除证书及补充证书私钥

场景

操作步骤

查看证书详情

证书管理页面,定位到目标证书,单击操作详情

您可以查看该证书对应的Identifier(证书唯一标识码)、签发时间、到期时间、使用的加密算法等信息。

补充私钥

  1. 证书管理页面,定位到目标证书,单击操作补充私钥

  2. 补充私钥面板,输入私钥内容或上传私钥文件,单击确定。

    证书私钥需为PEM编码格式,一般以“-----BEGIN (RSA|EC) PRIVATE KEY-----”开头,以“-----END(RSA|EC) PRIVATE KEY-----”结尾。

    您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

吊销证书

  1. 证书管理页面,定位到目标证书,单击操作吊销

  2. 确认对话框,单击吊销

警告

证书吊销后将无法恢复。为了保障您的产品正常使用,请您谨慎操作。

下载证书

证书管理页面,定位到目标证书,单击操作下载

删除证书

  1. 证书管理页面,定位到目标证书,单击操作删除

  2. 提示对话框,单击删除

警告

删除后无法恢复数据,请谨慎操作。

通过证书应用仓库API管理证书

通过调用证书应用仓库API管理证书,除了申请或上传证书、吊销证书、删除证书等基本功能之外,还支持证书验签、加解密等功能。更多信息,请参见证书应用仓库API

说明

在使用证书应用仓库的签名、验签、加密和解密API时,需要确保具备足够的API调用额度。更多信息,请参见购买证书应用仓库API次数包