本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
在成功创建证书应用仓库之后,您可以通过调用证书API或使用控制台来管理仓库中的证书。具体操作包括证书上传、申请、吊销和删除等。此外,您还可以通过调用证书应用仓库API,使用仓库中的证书对数据进行加解密,或对电子合同进行签名、验签等操作。
前提条件
已创建证书应用仓库。具体操作,请参见创建并管理证书应用仓库。
通过控制台管理仓库证书
在数字证书管理服务,您可以对证书应用仓库中的证书进行管理,具体操作包括查看证书详情、申请或上传证书、吊销证书、下载证书以及删除证书等。
管理入口
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在证书应用仓库页面,单击目标证书应用仓库。
在证书管理页面,管理证书应用仓库中的证书。
阿里云私有证书仓库(申请证书)
在证书管理页面,单击申请证书。
在申请证书面板,参考下表填写私有证书信息,单击确认申请。
配置项
描述
证书类型
服务端证书:用于安装到应用服务器。
客户端证书:用于安装到访问应用的客户端。
公用名 (CN)
私有证书主体的通用名称。
有效期
私有证书的有效期。
私有证书有效期时长与您购买的子CA服务时长有关,详情如下:
购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明。
购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。
扩展SAN
私有证书的SAN扩展属性。
如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。
服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。
最多支持添加10个SAN扩展属性。
说明SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。
URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。
更多设置
如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。
CRL状态
表示创建子CA时是否开启了CRL(Certificate Revocation List)。关于CRL的更多信息,请参见CRL服务。
阿里云合规证书仓库(申请证书)
在证书管理页面,单击申请证书。
在申请证书面板,参考下表填写合规证书信息,单击确认申请。
配置项
说明
姓名
证书拥有者姓名。
更多设置
如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。
上传证书仓库(上传证书)
在证书管理页面,单击上传证书。
在CA信息面板,配置证书参数,单击确认并启用。
配置项
说明
名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
证书文件
填写证书文件内容(PEM编码)。
您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。
证书私钥
填写证书私钥内容的PEM编码。支持以下几种方式:
手动填写:使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
上传本地证书私钥文件:单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
选择已有的CSR(Certificate Signing Request):支持选择通过数字证书管理控制台创建或上传的CSR,且系统会自动匹配对应证书文件的CSR。CSR相关操作和说明,请参见管理CSR。
说明如果您在上传证书相关文件后收到证书与私钥不匹配的提示,可能是因为您的私钥文件包含了RSA字符。您可以使用
openssl rsa -in <原私钥文件名> -out <自定义现私钥文件名>
命令将其转换后再进行上传。
上传CA证书仓库(上传证书)
在证书管理页面,单击上传证书。
在CA信息面板,配置证书参数,单击确认并启用。
配置项
说明
名称
为要上传的CA文件设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
CA文件
填写包含完整证书链的证书文件内容(PEM编码)。
您可以使用文本编辑工具打开PEM或者CRT格式的CA文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的CA文件,将文件内容上传到文本框。
说明如果证书链不完整,当在阿里云负载均衡配置HTTPS监听选择该CA证书后,会导致负载均衡和客户端建立加密连接失败。负载均衡HTTPS监听配置,请参见添加HTTPS监听(ALB)、添加TCPSSL监听(NLB)或添加HTTPS监听(CLB)。
查看、下载、吊销、删除证书及补充证书私钥
场景 | 操作步骤 |
查看证书详情 | 在证书管理页面,定位到目标证书,单击操作列详情。 您可以查看该证书对应的Identifier(证书唯一标识码)、签发时间、到期时间、使用的加密算法等信息。 |
补充私钥 |
|
吊销证书 |
警告 证书吊销后将无法恢复。为了保障您的产品正常使用,请您谨慎操作。 |
下载证书 | 在证书管理页面,定位到目标证书,单击操作列下载。 |
删除证书 |
警告 删除后无法恢复数据,请谨慎操作。 |
通过证书应用仓库API管理证书
通过调用证书应用仓库API管理证书,除了申请或上传证书、吊销证书、删除证书等基本功能之外,还支持证书验签、加解密等功能。更多信息,请参见证书应用仓库API。
在使用证书应用仓库的签名、验签、加密和解密API时,需要确保具备足够的API调用额度。更多信息,请参见购买证书应用仓库API次数包。