私人CA通常適用於企業內部應用資料需要加密的情境,例如,內部的OA、HR等系統。本文介紹如何購買及啟用私人CA服務。
企業私人CA的根或中間根由企業自主建立(即可以自訂根CA或中間CA的頒發者身份和歸屬組織等資訊),且企業私人CA可以建立多級中間CA,滿足企業多級組織架構需求。
步驟一:購買私人根CA
首次建立私人CA時,必須先購買私人根CA。
每個根 CA 執行個體包含:1 個根 CA、1 個子 CA 及 10 個贈送的私人認證額度。贈送額度的使用規則如下:
額度使用到期日:須在購買之日起 30 天內使用額度簽發認證;逾期未使用的額度將失效並被清除。
認證有效期間:使用贈送額度簽發的認證,自簽發之日起有效期間為 30 天,且不隨根 CA 續約而延長。另行購買的私人認證,其有效期間可自訂。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,單擊購買私有根CA。
在購買頁面,選擇認證演算法和購買時間長度,單擊立即購買並完成支付。
認證演算法:簽發認證時所使用的密碼編譯演算法類型。可選項:RSA演算法、私鑰算法、ECC。
有效期:選擇PCA服務使用時間長度。您可以在PCA服務使用時間長度內,簽發認證。
重要服務到期後,將無法繼續簽發認證,即使支援簽發的認證數量還有剩餘。
通過CA簽發的認證的有效期間最長不超過PCA服務的購買時間長度。例如,您購買了1個月的PCA服務,則通過CA簽發的認證的有效期間不超過30天。
步驟二:啟用私人根CA和子CA
購買私人根CA後,需依次啟用根CA和子CA。只有啟用根CA後,才能啟用根CA下的子CA。
啟用根CA
在私有CA頁簽,定位到目標根CA,在操作列,單擊啟用。
在CA信息面板,配置根CA的資訊,單擊確認並啟用。
數位憑證管理服務支援多種方式啟用根CA,請根據業務需求選擇不同的方式,具體配置如下:
建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA演算法,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:私鑰算法。
如果CA密碼編譯演算法是私鑰算法,則此處私密金鑰演算法的可選項包括:ECC_256、ECC_384、私鑰算法。
有效期
根CA的有效時間長度。
根CA的有效期間時間長度與您購買的根CA服務時間長度有關,詳情如下:
購買根CA服務時間長度<1年,根CA支援的有效期間範圍為1~20年。
購買根CA服務時間長度>=1年,根CA支援的有效期間範圍為1~100年。
說明僅可在PCA服務的有效使用時間長度內簽發認證。服務到期後,將無法繼續簽發認證,未使用的私人認證資源也將不可用。
是否啟用CRL服務
是否開啟CRL(Certificate Revocation List)服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務。
上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用根CA後,根CA的狀態將變更為啟用。如果根CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
啟用子CA
在私有CA頁簽,定位到目標根CA,單擊根CA名稱處的
表徵圖。定位到目標子CA,在操作列,單擊啟用。
在CA信息面板,配置子CA的資訊,單擊確認並啟用。
數位憑證管理服務支援多種方式啟用子CA,請根據業務需求選擇不同的方式,具體配置如下:
建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
中間CA用途
根據子CA用途,選擇中間CA或使用者CA。
中間CA:可用於頒發下屬CA。
使用者CA:只能用於頒發使用者認證,例如服務端認證、用戶端認證等。
長度限制
中間CA用途選擇中間CA時,需配置中間CA長度,表示中間CA可以頒發下屬CA的最大長度。
取值為1~5。
重要長度限制為1,則下屬CA為使用者CA。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
樣本:中國。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的私鑰算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA演算法,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、私鑰算法。
如果CA密碼編譯演算法是SM2演算法,則此處私密金鑰演算法的可選項包括:SM2演算法。
如果CA密碼編譯演算法是私鑰算法,則此處私密金鑰演算法的可選項包括:私鑰算法、演算法、ECC_512。
有效期
子CA的有效期間時間長度。
子CA的有效期間時間長度與您購買的私人子CA時間長度有關,詳情如下:
購買的時間長度<1年,子CA有效期間範圍為1~20年。
購買的時間長度>=1年,子CA有效期間範圍為1~100年。
是否啟用CRL服務
是否開啟CRL服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。關於CRL的更多資訊,請參見CRL服務。
擴充金鑰使用方法
選擇擴充金鑰使用方法,即認證標識,便於您進行區分。
上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用子CA後,子CA的狀態將變更為啟用。如果子CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
步驟三:(可選)購買私人子CA
您可以根據企業組織架構,在已有的根CA下繼續建立多個子CA(例如,為企業內不同部門分別建立對應的子CA)。新購買的子CA預設不包含任何認證資源。
在私有CA頁簽,定位到目標根CA,在操作列,單擊建立私人子CA。
在建立私人子CA面板,完成購買配置。
重要子CA使用的演算法需和根CA一致,不支援修改。
仔細閱讀並勾選服務合約,單擊立即購買並完成支付。
步驟四:配置私人認證
完成購買及啟用私人CA的操作後,需要配置私人認證。具體操作,請參見購買及分配私人認證額度。