本文介紹如何通過私人CA服務簽發用戶端或服務端認證。
前提條件
操作步驟
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標子CA,在操作列,單擊申請證書。
在申請證書面板,參考下表完成認證資訊配置,單擊確認申請。
提交認證申請後,私人CA認證會立即簽發。簽發後,您可以單擊子CA操作列下的證書列表,查看已簽發的認證資訊。
配置項
描述
認證類型
服務端證書:用於安裝到應用伺服器。
客戶端證書:用於安裝到訪問應用的用戶端。
姓名
僅用戶端認證需配置。
用於標識該用戶端使用者的唯一標識。
一般名稱 (CN)
僅服務端認證需配置。
私人認證主體的通用名稱,請輸入欄位名或IP。
有效期
私人認證有效期間時間長度與您購買的子CA服務時間長度有關,詳情如下:
購買的服務時間長度<1年,私人認證有效期間不能超過您購買的PCA服務的時間長度。例如,您購買了1個月的PCA服務,則可以簽發的認證的最長有效期間不超過31天。如果您需要更長的認證有效期間,建議您通過續約,延長PCA的服務的時間長度。續約操作,請參見續約說明。
購買的服務時間長度≥1年,私人認證支援的有效期間範圍為1~100年。
擴展SAN
私人認證的SAN擴充屬性。
如果該認證需要應用到多個主體,您可以通過SAN擴充添加其他主體的資訊。
服務端認證支援填寫服務網域名稱或伺服器IP地址,用戶端認證支援填寫使用者郵箱地址或URI。
最多支援添加10個SAN擴充屬性。
說明SAN(Subject Alternative Name)是SSL標準X509中定義的一個擴充。使用了SAN欄位的SSL認證,可以擴充此認證支援的網域名稱,使得一個認證可以支援多個不同網域名稱的解析。
URI(Uniform Resource Identifier)是統一資源識別項,用來標識該認證歸屬的阿里雲資源,例如,可以用來標識該私人認證部署的Elastic Compute Service。
更多設定
如果您需要在認證中添加認證名稱、公司和部門資訊,您可以單擊更多設定進行配置。
是否包含CRL地址
預設開啟。關於CRL的更多資訊,請參見CRL服務。
後續步驟
簽發私人認證後,您可以下載認證至本地,並安裝至對應的用戶端或伺服器。相關說明,請參見下載私人認證。