文档

PCA服务说明及使用流程

更新时间:

阿里云数字证书管理服务支持PCA(Private Certificate Authority)服务,使您可以通过简单的可视化操作,搭建企业自己的CA证书平台,实现在企业内部签发和管理自签名证书,用于企业内部的应用身份认证和数据加解密。

应用场景

应用场景类型

应用场景描述

需使用的PCA服务

企业对内使用

一般用于不涉及监管、行业规范等要求,仅涉及企业内部应用数据需要密码技术提供加密的场景。企业内部应用(例如,内部的OA、HR等系统)可以使用PCA服务的密码技术进行应用间数据安全传输、数据加解密和身份认证。

私有CA

企业合规使用

一般应用于密码应用安全性评估或者要求满足电子认证服务相关要求的场景,例如,银企直连、电子签名等。

合规CA

私有CA使用流程

私有CA为阿里云提供的私有证书服务。通过在数字证书管理服务控制台购买私有根CA和子CA,您可以搭建企业内部的私有证书平台,实现自主管理企业内部应用的证书。在一个根CA下,您可以根据企业的组织架构,购买多个子CA,实现不同部门私有证书的分类管理。

步骤

操作说明

操作指导

该环节如何撤销?

步骤一:购买私有CA服务

首次创建私有CA时,您必须先购买私有根CA。购买私有根CA后,您将会获得一个根CA和一个子CA,且根CA默认包含10张私有证书资源(可以签发10张私有证书)。

购买私有根CA

私有CA服务在满足退款规则的前提下,支持全额退款。具体退款规则和流程,请参见退款说明

私有CA退款成功后,可以将其手动从CA列表中删除。

image

步骤二:启用根CA和子CA

首次启用必须先启用根CA,再启用子CA。

当您启用根CA时,可以选择使用阿里云创建根CA证书,阿里云将会为您管理根CA证书,节省您的时间。您还可以选择上传已有的根CA证书,并自行管理该证书。

启用私有CA

私有CA重置后可恢复为启用状态。具体操作,请参见重置私有CA

步骤三:分配私有证书额度

首次使用必须给子CA分配证书额度,然后子CA使用已分配的证书额度申请私有证书。

说明

根CA默认被赠送10张证书分配。如果10张证书无法满足您的需求,您可以根据需要进行购买。如何购买,请参见购买私有证书额度

分配私有证书额度

不支持撤销。

步骤四:申请签发私有证书

通过已启用的私有子CA,申请私有用户证书。

根CA只用于签发子CA。只有子CA可以签发私有证书(包括服务端证书和客户端证书)。

申请签发私有证书

不支持撤销。已签发的私有证书已消耗相应的证书额度,因此不支持退还额度。

步骤五:下载安装私有证书

下载私有证书,分发给具体主体安装使用。

服务端证书需要安装到服务器,客户端证书需要安装到客户端浏览器。

下载私有证书

PCA证书安装实践

不涉及。

合规CA使用流程

合规CA一般应用密评或者要求满足电子认证服务相关要求的场景,例如:银企直连、电子签名等。

步骤

操作说明

操作指导

该环节如何撤销

步骤一:购买合规CA服务

购买合规子CA。

首次使用,必须先购买合规子CA。购买合规子CA后,会自动生成合规根CA。

购买合规子CA

合规CA服务在满足退款规则的前提下,支持全额退款。具体退款规则和流程,请参见退款说明

合规CA退款成功后,可以将其手动从CA列表中删除。

image

步骤二:启用根CA

启用根CA后,会自动生成并启用子CA。

启用合规CA

不支持撤销。

步骤三:分配合规证书额度

首次使用必须给子CA分配证书额度,然后子CA使用已分配的证书额度申请合规证书。

说明

根CA默认被赠送10张证书额度。如果10张证书无法满足您的需求,您可以根据需要进行购买。具体操作,请参见购买及分配合规证书额度

购买及分配合规证书额度

不支持撤销。

步骤四:申请签发合规证书

使用子CA申请签发合规证书(客户端证书)。

申请签发合规证书

不支持撤销。

步骤五:下载安装合规证书

下载合规证书,分发给具体主体安装使用。

不涉及。