Private CA(Private Certificate Authority,私人憑證授權單位)是阿里雲提供的一項數位憑證全生命週期管理服務。它允許企業在不具備自建PKI(公開金鑰基礎設施)體系的情況下,快速構建獨享的、符合企業內部安全規範的認證認證體系,實現內部應用、IoT裝置、移動端的身份認證與資料加密。
核心概念
PCA採用根CA-子CA-終端認證三級架構:
根CA(Root CA):認證信任鏈結的根,僅用於簽發子CA認證,建議嚴格控制使用與許可權。
子CA(Sub CA):用於簽發終端認證,建議按組織/業務線劃分多個子CA便於隔離管理。
終端認證:由子CA簽發,部署在伺服器、用戶端、裝置等實體上。
應用情境
私人CA適用於企業內部或IoT環境的身份認證與安全通訊,無需滿足外部監管要求。
典型情境:
IoT裝置認證:車連網中車-車、車-路通訊認證(如:單輛車需要5張以上認證)。
企業內部系統:OA、HR等內部系統間的mTLS雙向認證。
微服務架構:服務間的身分識別驗證與加密通訊。
核心優勢:支援自動簽發、吊銷、續簽,適配大規模裝置的認證管理需求。
使用流程
通過以下步驟,可搭建企業內部的私人認證平台,實現自主管理企業內部應用的認證。在一個根CA下,可根據企業的組織架構購買多個子CA,實現不同部門私人認證的分類管理。
購買私人CA服務
首次建立私人CA時,必須先購買私人根CA。詳情請參見購買私人根CA。如需退款,請參見PCA服務退款。私人CA退款成功後,可以將其手動從CA列表中刪除。
說明每個根 CA 執行個體包含:1 個根 CA、1 個子 CA 及 10 個贈送的私人認證額度。贈送額度的使用規則如下:
額度使用到期日:須在購買之日起 30 天內使用額度簽發認證;逾期未使用的額度將失效並被清除。
認證有效期間:使用贈送額度簽發的認證,自簽發之日起有效期間為 30 天,且不隨根 CA 續約而延長。另行購買的私人認證,其有效期間可自訂。
啟用根CA和子CA
購買完成後,需要依次啟用根CA和子CA。詳情請參見啟用私人CA。
說明如需修改啟用的私人CA的資訊時,可以選擇重設目標根CA或子CA,並重新啟用該CA。詳情請參見重設私人CA。
分配私人認證額度
為子CA分配認證簽發額度,子CA使用已指派的額度申請私人認證。詳情請參見分配私人認證額度。
說明根CA預設贈送10張私人認證額度,可根據需求另行購買。如需購買,請參見購買私人認證額度。
申請簽發私人認證
通過已啟用的子CA申請簽發使用者認證。詳情請參見申請簽發私人認證。
說明已簽發的私人認證將消耗相應的認證額度,已消耗額度不支援退還。
下載安裝私人認證
下載已簽發的私人認證,並分發給相應主體安裝使用。詳情請參見下載私人認證。
計費說明
常見問題
贈送的認證額度有什麼限制?
贈送額度須在購買根CA之日起30天內使用,逾期失效。
使用贈送額度簽發的認證有效期間為30天,不隨根CA續約延長。
另行購買的私人認證額度,其有效期間可自訂。
如何修改已啟用的CA資訊?
如需修改已啟用的CA資訊,可通過重設CA功能實現。重設後需重新啟用CA。詳情請參見重設私人CA。
如何刪除不再使用的CA?
CA退款成功後,可在CA列表中手動刪除相應的CA執行個體。如需退款,請參見PCA服務退款。