全部產品
Search

搜尋本產品

    :管理私人認證

    文件中心

    :管理私人認證

    更新時間:Aug 09, 2024

    在數位憑證管理服務控制台建立並啟用私人CA後,您可以通過子CA申請私人認證,用於企業內部應用的身份認證和資料加解密。本文介紹如何配置私人認證。

    背景資訊

    只有私人子CA可申請私人認證(即終端實體認證,包含服務端認證和用戶端認證)。只有在服務端和用戶端分別安裝私人認證後,才可以在服務端和用戶端之間建立可信通訊。

    首次配置流程

    首次配置私人認證時,您需要按照以下流程操作:

    前提條件

    已購買並啟用私人CA。相關操作,請參見購買及啟用私人CA

    購買私人認證

    如果私人根CA包含的認證資源數量不能滿足您的需求,您可以在私人根CA下購買認證,增加根CA下所有子CA能簽發的認證數量。

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > PCA認證管理,在PCA認證管理頁面,選擇PCA服務所在地區。

    3. 私有CA頁簽,定位到目標根CA,在操作列,單擊購買認證

    4. 購買認證面板,輸入您需要購買的認證數量,單擊購買並完成支付。

      說明

      對於單個根CA,如果您累計購買的認證超過一定數量,數位憑證管理服務將減免超過該數量認證的費用。具體支援減免費用的私人認證數量閾值,請聯絡商務經理進行諮詢

    分配私人認證

    根CA無法簽發認證,只有子CA可以簽發私人認證。在申請私人認證前,您需要將根CA擁有的認證資源分派給子CA。根CA和子CA需要同時滿足以下條件才能成功分配認證:

    • 根CA和子CA為啟用狀態。

    • 根CA下的認證剩餘數量不為0。

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > PCA認證管理,在PCA認證管理頁面,選擇PCA服務所在地區。

    3. 私有CA頁簽,定位到目標根CA,在認證剩餘數量/總數量列,單擊分配認證

    4. 分配認證面板,選擇需要分配認證的子CA,並設定子CA的證書剩餘數量,單擊確定

    申請私人認證

    只有在子CA的證書剩餘數量不為0時,您才可以在子CA下申請私人認證。

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > PCA認證管理,在PCA認證管理頁面,選擇PCA服務所在地區。

    3. 私有CA頁簽,定位到目標子CA,在操作列,單擊申請證書

    4. 申請證書面板,完成認證資訊配置,單擊確認申請

      提交認證申請後,私人CA認證會立即簽發。私人認證簽發後,您可以單擊子CA操作列下的證書列表,在證書列表頁面查看已簽發的認證資訊。

      5. 配置項

      描述

      認證類型

      • 服務端證書:用於安裝到應用伺服器。

      • 客戶端證書:用於安裝到訪問應用的用戶端。

      一般名稱 (CN)

      私人認證主體的通用名稱。

      有效期

      私人認證的有效期間。

      私人認證有效期間時間長度與您購買的子CA服務時間長度有關,詳情如下:

      • 購買的服務時間長度<1年,私人認證有效期間不能超過您購買的PCA服務的時間長度。例如,您購買了1個月的PCA服務,則可以簽發的認證的最長有效期間不超過31天。如果您需要更長的認證有效期間,建議您通過續約,延長PCA的服務的時間長度。續約操作,請參見續約說明

      • 購買的服務時間長度≥1年,私人認證支援的有效期間範圍為1~100年。

      擴展SAN

      私人認證的SAN擴充屬性。

      • 如果該認證需要應用到多個主體,您可以通過SAN擴充添加其他主體的資訊。

      • 服務端認證支援填寫服務網域名稱或伺服器IP地址,用戶端認證支援填寫使用者郵箱地址或URI。

      • 最多支援添加10個SAN擴充屬性。

      說明

      SAN(Subject Alternative Name)是SSL標準X509中定義的一個擴充。使用了SAN欄位的SSL認證,可以擴充此認證支援的網域名稱,使得一個認證可以支援多個不同網域名稱的解析。

      URI(Uniform Resource Identifier)是統一資源識別項,用來標識該認證歸屬的阿里雲資源,例如,可以用來標識該私人認證部署的Elastic Compute Service。

      更多設定

      如果您需要在認證中添加認證名稱、公司和部門資訊,您可以單擊更多設定進行配置。

      是否包含CRL地址

      預設開啟。關於CRL的更多資訊,請參見CRL服務

    下載私人認證

    通過子CA簽發私人認證後,您可以下載私人認證,然後分發給對應的認證主體進行安裝使用。

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > PCA認證管理,在PCA認證管理頁面,選擇PCA服務所在地區。

    3. 私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表

    4. 證書列表頁面,定位到目標私人認證,在操作列,單擊下載

    5. 認證下載對話方塊,選擇需要下載的認證格式,單擊確認並下載

    安裝私人認證

    下載私人認證後,您需要將服務端認證安裝到應用伺服器上,用戶端認證安裝至用戶端瀏覽器。服務端認證安裝操作與通過數位憑證管理服務購買的SSL認證相同。具體操作,請參見SSL認證安裝指南

    吊銷私人認證

    私人認證到期前,如果不再需要使用私人認證,您可以在數位憑證管理服務控制台吊銷該私人認證。

    警告

    私人憑證撤銷、刪除後,將不再被企業內部環境所信任,且無法恢複和重新啟用,請您謹慎操作。

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > PCA認證管理,在PCA認證管理頁面,選擇PCA服務所在地區。

    3. 私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表

    4. 證書列表頁面,定位到目標私人認證,在操作列,單擊吊銷

    5. 確認對話方塊,單擊吊銷

      確認吊銷後,該私人認證會立即被吊銷。認證狀態將變更為吊銷,這時您可以從認證列表中刪除該私人認證。