全部產品
Search

搜尋本產品

    Certificate Management Service:管理憑證應用倉庫中的認證

    文件中心

    Certificate Management Service:管理憑證應用倉庫中的認證

    更新時間:Jun 30, 2024

    在成功建立認證應用倉庫之後,您可以通過調用認證API或使用控制台來管理倉庫中的認證。具體操作包括認證上傳、申請、吊銷和刪除等。此外,您還可以通過調用認證應用倉庫API,使用倉庫中的認證對資料進行加解密,或對電子合約進行簽名、驗簽等操作。

    前提條件

    已建立認證應用倉庫。具體操作,請參見建立並管理憑證應用倉庫

    通過控制台管理倉庫認證

    數位憑證管理服務,您可以對認證應用倉庫中的認證進行管理,具體操作包括查看認證詳情、申請或上傳認證、吊銷認證、下載認證以及刪除認證等。

    管理入口

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證及網域名稱應用服務 > 認證應用倉庫

    3. 認證應用倉庫頁面,單擊目標認證應用倉庫。

    4. 認證管理頁面,管理憑證應用倉庫中的認證。

    阿里雲私人認證倉庫(申請認證)

    1. 認證管理頁面,單擊申請認證

    2. 申請認證面板,參考下表填寫私人認證資訊,單擊確認申請

      配置項

      描述

      認證類型

      • 服務端證書:用於安裝到應用伺服器。

      • 客戶端證書:用於安裝到訪問應用的用戶端。

      一般名稱 (CN)

      私人認證主體的通用名稱。

      有效期

      私人認證的有效期間。

      私人認證有效期間時間長度與您購買的子CA服務時間長度有關,詳情如下:

      • 購買的服務時間長度<1年,私人認證有效期間不能超過您購買的PCA服務的時間長度。例如,您購買了1個月的PCA服務,則可以簽發的認證的最長有效期間不超過31天。如果您需要更長的認證有效期間,建議您通過續約,延長PCA的服務的時間長度。續約操作,請參見續約說明

      • 購買的服務時間長度≥1年,私人認證支援的有效期間範圍為1~100年。

      擴展SAN

      私人認證的SAN擴充屬性。

      • 如果該認證需要應用到多個主體,您可以通過SAN擴充添加其他主體的資訊。

      • 服務端認證支援填寫服務網域名稱或伺服器IP地址,用戶端認證支援填寫使用者郵箱地址或URI。

      • 最多支援添加10個SAN擴充屬性。

      說明

      SAN(Subject Alternative Name)是SSL標準X509中定義的一個擴充。使用了SAN欄位的SSL認證,可以擴充此認證支援的網域名稱,使得一個認證可以支援多個不同網域名稱的解析。

      URI(Uniform Resource Identifier)是統一資源識別項,用來標識該認證歸屬的阿里雲資源,例如,可以用來標識該私人認證部署的Elastic Compute Service。

      更多設定

      如果您需要在認證中添加認證名稱、公司和部門資訊,您可以單擊更多設定進行配置。

      CRL狀態

      表示建立子CA時是否開啟了CRL(Certificate Revocation List)。關於CRL的更多資訊,請參見CRL服務

    阿里雲合規認證倉庫(申請認證)

    1. 認證管理頁面,單擊申請認證

    2. 申請認證面板,參考下表填寫合規認證資訊,單擊確認申請

      配置項

      說明

      姓名

      認證擁有者姓名。

      更多設定

      如果您需要在認證中添加認證名稱、公司和部門資訊,您可以單擊更多設定進行配置。

    上傳認證倉庫(上傳認證)

    1. 認證管理頁面,單擊上傳認證

    2. CA資訊面板,配置認證參數,單擊確認並啟用

      配置項

      說明

      名稱

      為要上傳的認證設定一個名稱。

      支援使用英文字母、英文句號、數字、底線(_)和短劃線(-)。

      認證檔案

      填寫認證檔案內容(PEM編碼)。

      您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。

      認證私密金鑰

      填寫認證私密金鑰內容的PEM編碼。支援以下幾種方式:

      • 手動填寫:使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框。

      • 上傳本地認證私密金鑰檔案:單擊該文字框下的上傳並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。

      • 選擇已有的CSR(Certificate Signing Request):支援選擇通過數位憑證管理主控台建立或上傳的CSR,且系統會自動匹配對應認證檔案的CSR。CSR相關操作和說明,請參見管理CSR

      說明

      如果您在上傳認證相關檔案後收到認證與私密金鑰不匹配的提示,可能是因為您的私密金鑰檔案包含了RSA字元。您可以使用openssl rsa -in <原私密金鑰檔案名稱> -out <自訂現私密金鑰檔案名稱>命令將其轉換後再進行上傳。

    上傳CA認證倉庫(上傳認證)

    1. 認證管理頁面,單擊上傳認證

    2. CA資訊面板,配置認證參數,單擊確認並啟用

      配置項

      說明

      名稱

      為要上傳的CA檔案設定一個名稱。

      支援使用英文字母、英文句號、數字、底線(_)和短劃線(-)。

      CA檔案

      填寫包含完整憑證鏈結的認證檔案內容(PEM編碼)。

      您可以使用文本編輯工具開啟PEM或者CRT格式的CA檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的CA檔案,將檔案內容上傳到文字框。

      說明

      如果憑證鏈結不完整,當在阿里雲負載平衡配置HTTPS監聽選擇該CA認證後,會導致負載平衡和用戶端建立加密串連失敗。負載平衡HTTPS監聽配置,請參見添加HTTPS監聽(ALB)添加TCPSSL監聽(NLB)添加HTTPS監聽(CLB)

    查看、下載、吊銷、刪除認證及補充認證私密金鑰

    情境

    操作步驟

    查看認證詳情

    認證管理頁面,定位到目標認證,單擊操作詳情

    您可以查看該認證對應的Identifier(認證唯一標識碼)、簽發時間、到期時間、使用的密碼編譯演算法等資訊。

    補充私密金鑰

    1. 認證管理頁面,定位到目標認證,單擊操作補充私密金鑰

    2. 補充私密金鑰面板,輸入私密金鑰內容或上傳私密金鑰檔案,單擊確定。

      認證私密金鑰需為PEM編碼格式,一般以“-----BEGIN (RSA|EC) PRIVATE KEY-----”開頭,以“-----END(RSA|EC) PRIVATE KEY-----”結尾。

      您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。

    吊銷認證

    1. 認證管理頁面,定位到目標認證,單擊操作吊銷

    2. 確認對話方塊,單擊吊銷

    警告

    憑證撤銷後將無法恢複。為了保障您的產品正常使用,請您謹慎操作。

    下載認證

    認證管理頁面,定位到目標認證,單擊操作下載

    刪除認證

    1. 認證管理頁面,定位到目標認證,單擊操作刪除

    2. 提示對話方塊,單擊刪除

    警告

    刪除後無法恢複資料,請謹慎操作。

    通過認證應用倉庫API管理憑證

    通過調用認證應用倉庫API管理憑證,除了申請或上傳認證、吊銷認證、刪除認證等準系統之外,還支援認證驗簽、加解密等功能。更多資訊,請參見認證應用倉庫API

    說明

    在使用認證應用倉庫的簽名、驗簽、加密和解密API時,需要確保具備足夠的API調用額度。更多資訊,請參見購買認證應用倉庫API次數包