AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) 操作指南 PCA证书管理 私有CA 购买及启用私有CA

购买及启用私有CA

更新时间:
产品详情
我的收藏

私有CA通常适用于企业内部(不涉及监管、行业规范等要求)应用数据需要加密的场景,例如,内部的OA、HR等系统。本文介绍如何购买及启用私有CA服务。

企业私有CA

企业私有CA的根或中间根由企业自主创建(即可以自定义根CA或中间CA的颁发者身份和归属组织等信息),且企业私有CA可以创建多级中间CA,满足企业多级组织架构需求。

步骤一:购买私有根CA

首次创建私有CA时,您必须先购买私有根CA。购买私有根CA后,您将会获得一个根CA和一个子CA,且根CA默认包含10张私有证书资源(可以签发10张证书)。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA页签,单击购买私有根CA

  4. 购买私有根CA面板,完成购买配置。

    关键配置项

    描述

    PCA用途

    默认已选择企业对内使用(无监管需求),表示适用于企业内部系统(例如,OA、HR系统)的网络通信需要采用加密技术,实现应用数据的安全传输、用户身份认证等目的。一般不涉及监管、行业规范等要求。

    商品规格

    选择创建根CA

    证书算法

    签发证书时所使用的加密算法类型。

    可选项:RSASM(国密)ECC

    购买时长

    选择服务使用时长。

    • 服务购买时长<1年,启用根CA时,有效期最大可设置为20年。

    • 服务购买时长>=1年,启用根CA时,有效期最大可设置为100年。

    说明

    仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。

  5. 仔细阅读并勾选服务协议,单击立即购买并完成支付。

步骤二:启用私有根CA

购买私有根CA后,您需要依次启用根CA和子CA。只有启用根CA后,您才能启用根CA下的子CA。

启用根CA

  1. 私有CA页签,定位到目标根CA,在操作列,单击启用

  2. CA信息面板,配置根CA的信息,单击确认并启用

    数字证书管理服务支持使用创建CA证书上传CA证书及密钥的方式启用CA。选择不同的方式,需要配置不同的参数。以下是相关说明:

    • 启用方式选择创建CA证书

      配置项

      描述

      启用方式

      选择创建CA证书

      公用名 (CN)

      CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。

      示例:阿里云。

      组织部门 (OU)

      CA关联的组织部门的名称。支持使用中文或者英文。

      示例:IT部。

      组织机构 (O)

      CA关联的组织机构的名称。支持使用中文或者英文。

      示例:阿里云计算有限公司。

      城市名称 (L)

      组织机构所在城市名称。支持使用中文或者英文。

      示例:杭州。

      省名称 (S)

      组织机构所在省份名称。支持使用中文或者英文。

      示例:浙江。

      国家/地区 (C)

      组织机构所在国家或地区名称。支持使用中文或者英文。

      示例:中国。

      私钥算法

      CA使用的私钥加密算法。

      根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:

      • 如果CA加密算法是RSA,则此处私钥算法的可选项包括:RSA_1024RSA_2048RSA_4096

      • 如果CA加密算法是SM(国密),则此处私钥算法的可选项包括:SM2_256

      • 如果CA加密算法是ECC,则此处私钥算法的可选项包括:ECC_256ECC_384ECC_512

      有效期

      CA的有效时长。

      CA的有效期时长与您购买的根CA服务时长有关,详情如下:

      • 购买根CA服务时长<1年,根CA支持的有效期范围为1~20年。

      • 购买根CA服务时长>=1年,根CA支持的有效期范围为1~100年。

      说明

      仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。

      是否启用CRL服务

      是否开启CRL(Certificate Revocation List)服务,开启后,您可以通过CRL查看已吊销的CA证书信息。更多信息,请参见CRL服务

    • 启用方式选择上传CA证书及密钥

      配置项

      描述

      启用方式

      选择上传CA证书及密钥

      证书文件

      填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。

      证书私钥

      填写证书私钥内容的PEM编码。

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  3. 提示对话框确认信息后,单击确定

    成功启用根CA后,根CA的状态将变更为启用。如果根CA信息填写有误需要修改,您可以重置该CA,具体操作,请参见重置私有CA

启用子CA

  1. 私有CA页签,定位到目标根CA,单击根CA名称处的折叠图标图标。

  2. 定位到目标子CA,在操作列,单击启用

  3. CA信息面板,配置子CA的信息,单击确认并启用

    数字证书管理服务支持使用创建CA证书上传CA证书及密钥的方式启用CA。选择不同的方式,需要配置不同的参数。

    • 启用方式选择创建CA证书

      配置项

      描述

      启用方式

      选择创建CA证书

      中间CA用途

      根据子CA用途,选择中间CA用户CA

      • 中间CA:可用于颁发下属CA。

      • 用户CA:只能用于颁发用户证书,例如服务端证书、客户端证书等。

      长度限制

      中间CA用途选择中间CA需配置中间CA长度表示中间CA可以颁发下属CA的最大长度。

      取值为1~5。

      重要

      长度限制1,则下属CA为用户CA。

      公用名 (CN)

      CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。

      示例:阿里云。

      组织部门 (OU)

      CA关联的组织部门的名称。支持使用中文或者英文。

      示例:IT部。

      组织机构 (O)

      CA关联的组织机构的名称。支持使用中文或者英文。

      示例:阿里云计算有限公司。

      城市名称 (L)

      组织机构所在城市名称。支持使用中文或者英文。

      示例:杭州。

      省名称 (S)

      组织机构所在省份名称。支持使用中文或者英文。

      示例:浙江。

      国家/地区 (C)

      组织机构所在国家或地区名称。支持使用中文或者英文。

      示例:中国。

      私钥算法

      CA使用的私钥加密算法。

      根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:

      • 如果CA加密算法是RSA,则此处私钥算法的可选项包括:RSA_1024RSA_2048RSA_4096

      • 如果CA加密算法是SM(国密),则此处私钥算法的可选项包括:SM2_256

      • 如果CA加密算法是ECC,则此处私钥算法的可选项包括:ECC_256ECC_384ECC_512

      有效期

      CA的有效期时长。

      CA的有效期时长与您购买的私有子CA时长有关,详情如下:

      • 购买的时长<1年,子CA有效期范围为1~20年。

      • 购买的时长>=1年,子CA有效期范围为1~100年。

      是否启用CRL服务

      是否开启CRL服务,开启后,您可以通过CRL查看已吊销的CA证书信息。关于CRL的更多信息,请参见CRL服务

      扩展密钥用法

      选择扩展密钥用法,即证书标识,便于您进行区分。

    • 启用方式选择上传CA证书及密钥

      配置项

      描述

      启用方式

      选择上传CA证书及密钥

      证书文件

      填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。

      证书私钥

      填写证书私钥内容的PEM编码。

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  4. 提示对话框确认信息后,单击确定

    成功启用子CA后,子CA的状态将变更为启用。如果子CA信息填写有误需要修改,您可以重置该CA,具体操作,请参见重置私有CA

步骤三:(可选)购买私有子CA

您可以根据企业组织架构,在已有的根CA下继续创建多个子CA(例如,为企业内不同部门分别创建对应的子CA)。新购买的子CA默认不包含任何证书资源。

  1. 私有CA页签,定位到目标根CA,在操作列,单击创建私有子CA

  2. 创建私有子CA面板,完成购买配置。

    重要

    CA使用的算法需和根CA一致,不支持修改。

  3. 仔细阅读并勾选服务协议,单击立即购买并完成支付。

阿里云共享CA

阿里云共享CA指阿里云所有用户共用由阿里云创建的根CA和中间CA,不支持自定义根CA或中间CA的颁发者身份和归属组织等信息,且不能创建多级中间CA。购买阿里云共享CA后,您将会获得一个根CA和一个子CA,且根CA默认包含10张私有证书资源(可以签发10张证书),默认为启用状态。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA页签,单击购买私有根CA

  4. 购买私有根CA面板,完成购买配置。

    关键配置项

    描述

    PCA用途

    选择企业对内使用(无监管需求)

    商品规格

    选择共享子CA(阿里云根)

    证书算法

    选择签发证书时所使用的加密算法类型。

    可选项:RSASM(国密)ECC

    购买时长

    选择PCA服务使用时长。最短1个月,最长2年。

    说明

    仅可在PCA服务的有效使用时长内签发证书。服务到期后,将无法继续签发证书,未使用的私有证书资源也将不可用。

  5. 仔细阅读并勾选服务协议,单击立即购买并完成支付。

后续步骤

完成购买及启用私有CA的操作后,您需要配置私有证书。具体操作,请参见管理私有证书

相关文档

上一篇:私有CA下一篇:购买及分配私有证书额度