私有证书概述
阿里云数字证书管理服务支持PCA(Private Certificate Authority,即私有CA)服务,使您可以通过简单的可视化操作,搭建企业自己的私有证书平台,实现在企业内部签发和管理自签名私有证书,用于企业内部的应用身份认证和数据加解密。
应用场景
应用场景类型 | 应用场景描述 | 需使用的私有证书 |
企业对内使用 | 一般用于不涉及监管、行业规范等要求,仅涉及企业内部应用数据需要密码技术提供加密的场景。企业内部应用(例如,内部的OA、HR等系统)可以使用PCA服务的密码技术进行应用间数据安全传输、数据加解密和身份认证。 | |
企业合规使用 | 一般应用于密码应用安全性评估或者要求满足电子认证服务相关要求的场景,例如,银企直连、电子签名等。 |
私有CA使用流程
私有CA为阿里云提供的私有证书服务。通过在数字证书管理服务控制台购买私有根CA和子CA,您可以搭建企业内部的私有证书平台,实现自主管理企业内部应用的证书。在一个根CA下,您可以根据企业的组织架构,购买多个子CA,实现不同部门私有证书的分类管理。
步骤 | 操作说明 | 操作指导 | 该环节如何撤销? |
1 | 首次创建私有CA时,您必须先购买私有根CA。购买私有根CA后,您将会获得一个根CA和一个子CA,且根CA默认包含10张私有证书资源(可以签发10张私有证书)。 | 退款说明,请参见私有证书计费说明。 私有CA退款成功后,可以将其从CA列表中删除。 | |
2 | 启用私有CA。 首次启用必须先启用根CA,再启用子CA。 当您启用根CA时,可以选择使用阿里云创建根CA证书,阿里云将会为您管理根CA证书,节省您的时间。您还可以选择上传已有的根CA证书,并自行管理该证书。 | 启用状态的CA支持吊销;吊销CA后,可以将其从CA列表中删除。 | |
3 | 分配证书 首次使用必须先分配证书,才能使用已分配的证书额度申请私有证书。 | 不支持撤销。 | |
4 | 通过已启用的私有子CA,申请私有用户证书。 根CA只用于签发子CA。只有子CA可以签发私有证书(包括服务端证书和客户端证书)。 | 正常状态的私有证书支持吊销;吊销私有证书后,可以将其从证书列表中删除。 具体操作,请参见吊销私有证书。 | |
5 | 下载私有证书,分发给具体用户安装使用。 服务端证书需要安装到服务器,客户端证书需要安装到客户端浏览器。 | 无。 |
合规CA使用流程
合规CA为第三方CA机构提供私有证书服务(包括根CA和子CA)。一个合规根CA下仅包含一个子CA,不支持在根CA下购买子CA。
步骤 | 操作说明 | 操作指导 | 该环节如何撤销 |
1 | 购买合规子CA。 首次使用,必须先购买合规子CA。购买合规子CA后,会自动生成合规根CA。 | 退款说明,请参见私有证书计费说明。 合规CA退款成功后,可以将其从CA列表中删除。 | |
2 | 启用合规CA。 启用合规根CA后,会自动生成并启用合规子CA。 | 状态为启用的合规CA支持吊销;吊销CA后,可以将其从CA列表中删除。 重要 吊销后的合规CA不支持退款。 | |
3 | 购买私有证书。 在使用私有证书前,您需要先购买私有证书。 | 具体规则,请参见退款说明。 | |
4 | 分配私有证书。 在使用私有证书前,您需要将根CA的证书额度分配给子CA,才能使用子CA签发私有证书。 | 不支持撤销。 | |
5 | 通过已启用的合规子CA,申请私有证书。 根CA只用于签发子CA。只有子CA可以签发私有证书(包括服务端证书和客户端证书)。 | 正常状态的私有证书支持吊销;吊销私有证书后,可以将其从证书列表中删除。 具体操作,请参见吊销私有证书。 | |
6 | 导出私有证书,分发给用户安装使用。 服务端证书需要安装到服务器,客户端证书需要安装到客户端浏览器。 | 无。 |