AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) PCA证书 什么是PCA证书

什么是PCA证书

更新时间:
复制为 MD 格式
产品详情
我的收藏

Private CA(Private Certificate Authority,私有证书颁发机构)是阿里云提供的一项数字证书全生命周期管理服务。它允许企业在不具备自建PKI(公钥基础设施)体系的情况下,快速构建独享的、符合企业内部安全规范的证书认证体系,实现内部应用、IoT设备、移动端的身份认证与数据加密。

核心概念

PCA层级结构

PCA采用CA-子CA-终端证书三级架构:

  • CA(Root CA):证书信任链的根,仅用于签发子CA证书,建议严格控制使用与权限。

  • CA(Sub CA):用于签发终端证书,建议按组织/业务线划分多个子CA便于隔离管理。

  • 终端证书:由子CA签发,部署在服务器、客户端、设备等实体上。

私有CA与合规CA

PCA提供两种类型的CA服务,适用于不同的业务场景:

对比维度

私有CA

合规CA

适用场景

企业内部身份认证、IoT设备通信

等保密评、国密合规、电子签名

算法支持

RSA、ECC

国密算法(SM2/SM3/SM4)

证书类型

服务端证书、客户端证书

客户端证书

CA创建方式

先购买根CA,再创建子CA

购买子CA时自动生成根CA

监管要求

无外部监管要求

满足双因子认证、双向认证等监管要求

应用场景

私有CA

私有CA适用于企业内部或IoT环境的身份认证与安全通信,无需满足外部监管要求。

典型场景

  • IoT设备认证:车联网中车-车、车-路通信认证(如:单辆车需要5张以上证书)。

  • 企业内部系统:OA、HR等内部系统间的mTLS双向认证。

  • 微服务架构:服务间的身份验证与加密通信。

核心优势:支持自动签发、吊销、续签,适配大规模设备的证书管理需求。

合规CA

合规CA适用于等保、密评及国产化改造场景,需使用国密算法并满足相关监管要求。

典型场景

  • 政务系统:HTTPS国密加密、电子签章。

  • 金融系统:银企直连、电子签名。

  • 企业核心系统:ERP、供应链系统的身份可信与数据防篡改。

核心优势:符合国密算法要求,满足等保、密评等合规审查。

使用流程

私有CA

通过以下步骤,可搭建企业内部的私有证书平台,实现自主管理企业内部应用的证书。在一个根CA下,可根据企业的组织架构购买多个子CA,实现不同部门私有证书的分类管理。

  1. 购买私有CA服务

    首次创建私有CA时,必须先购买私有根CA。详情请参见购买私有根CA。如需退款,请参见PCA服务退款。私有CA退款成功后,可以将其手动从CA列表中删除。

    说明

    每个根 CA 实例包含:1 个根 CA、1 个子 CA 及 10 个赠送的私有证书额度。赠送额度的使用规则如下:

    • 额度使用期限:须在购买之日起 30 天内使用额度签发证书;逾期未使用的额度将失效并被清除。

    • 证书有效期:使用赠送额度签发的证书,自签发之日起有效期为 30 天,且不随根 CA 续费而延长。另行购买的私有证书,其有效期可自定义。

  2. 启用根CA和子CA

    购买完成后,需要依次启用根CA和子CA。详情请参见启用私有CA

    说明

    如需修改启用的私有CA的信息时,可以选择重置目标根CA或子CA,并重新启用该CA。详情请参见重置私有CA

  3. 分配私有证书额度

    为子CA分配证书签发额度,子CA使用已分配的额度申请私有证书。详情请参见分配私有证书额度

    说明

    CA默认赠送10张私有证书额度,可根据需求另行购买。如需购买,请参见购买私有证书额度

  4. 申请签发私有证书

    通过已启用的子CA申请签发用户证书。详情请参见申请签发私有证书

    说明

    已签发的私有证书将消耗相应的证书额度,已消耗额度不支持退还。

  5. 下载安装私有证书

    下载已签发的私有证书,并分发给相应主体安装使用。详情请参见下载私有证书部署私有证书

合规CA

合规CA适用于密评或需满足电子认证服务相关要求的场景,例如银企直连、电子签名等。

  1. 购买合规CA服务

    首次使用需先购买合规子CA,系统将自动生成对应的合规根CA。详情请参见购买合规子CA

    说明

    如需退款,请参见PCA服务退款。退款成功后,可以将其手动从CA列表中删除。

  2. 启用根CA

    启用根CA后,将自动生成并启用子CA。详情请参见启用合规CA

  3. 分配合规证书额度

    为子CA分配证书签发额度。详情请参见购买及分配合规证书额度

  4. 申请签发合规证书

    使用子CA申请签发合规证书(客户端证书)。详情请参见申请签发合规证书

  5. 下载安装合规证书

    下载合规证书并完成安装部署。详情可参见下载合规证书安装USBKey控件密评场景PCA的最佳部署实践

计费说明

  • PCA服务采用预付费模式,按CA实例和证书额度分别计费。详细计费规则请参见PCA证书计费说明

  • 如需退款,请参见PCA服务退款。退款成功后,可在CA列表中手动删除相应的CA实例。

常见问题

赠送的证书额度有什么限制?

  • 赠送额度须在购买根CA之日起30天内使用,逾期失效。

  • 使用赠送额度签发的证书有效期为30天,不随根CA续费延长。

  • 另行购买的私有证书额度,其有效期可自定义。

如何修改已启用的CA信息?

如需修改已启用的CA信息,可通过重置CA功能实现。重置后需重新启用CA。详情请参见重置私有CA

如何删除不再使用的CA?

CA退款成功后,可在CA列表中手动删除相应的CA实例。如需退款,请参见PCA服务退款

私有CA和合规CA可以互相转换吗?

不支持互相转换。私有CA和合规CA是两种独立的CA类型,适用于不同的业务场景。请根据实际需求选择合适的CA类型。

上一篇:PCA证书下一篇:免费试用私有CA服务