阿里雲數位憑證管理服務提供PCA(Private Certificate Authority,即私人CA)服務,您可以在無需自建和維護公用密鑰基礎設施PKI(Public Key Infrastructure)的情況下,以較低的成本建立企業內部CA。本文介紹如何購買及啟用私人CA。
背景資訊
私人CA中一個根CA下可以包含多個子CA,只有子CA可用於簽發私人認證(包括服務端認證、用戶端認證)。
首次建立私人CA時,您必須先購買私人根CA。購買私人根CA後,您將會獲得一個根CA和一個子CA,且根CA預設包含10張私人認證資源(可以簽發10張私人認證)。您可以根據企業組織架構,在已有的根CA下繼續建立多個子CA(例如,為企業內不同部門分別建立對應的子CA)或者在私人根CA下購買認證並為子CA分配認證,增加子CA可以簽發的認證數量。
步驟一:購買私人根CA
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在私有CA頁簽,單擊購買私有根CA。
在購買頁面,選擇認證演算法和購買時間長度,單擊立即購買並完成支付。
認證演算法:私人CA簽發認證時所使用的密碼編譯演算法類型。可選項:RSA、SM、ECC。
服務時間長度:選擇私人認證服務使用時間長度。您可以在PCA服務使用時間長度內,通過私人CA簽發認證。
重要服務到期後,私人CA將無法繼續簽發認證,即使支援簽發的認證數量還有剩餘。
通過私人CA簽發的私人認證的有效期間最長不超過PCA服務的購買時間長度。例如,您購買了1個月的PCA服務,則通過私人CA簽發的認證的有效期間不超過30天。
步驟二:啟用私人CA
購買私人根CA後,您需要依次啟用根CA和子CA。只有啟用根CA後,您才能啟用根CA下的子CA。
啟用根CA
在私有CA頁簽,定位到目標根CA,在操作列,單擊啟用。
在CA信息面板,配置根CA的資訊,單擊確認並啟用。
數位憑證管理服務支援使用建立CA認證和上傳CA認證及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。以下是相關說明:
啟用方式選擇建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256。
如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
該CA的有效時間長度,表示允許該CA在指定時間長度(例如,5年)內簽發認證。
該CA的有效期間時間長度與您購買私人根CA時選擇的服務時間長度有關,詳情如下:
購買的服務時間長度<1年,根CA支援的有效期間範圍為1~20年。
購買的服務時間長度>=1年,根CA支援的有效期間範圍為1~100年。
說明如果您購買的PCA服務已經到期(例如,只購買了一個月的PCA服務,一個月後服務到期),則即使該CA仍然有效,也不能繼續簽發認證。這時您只有通過續約,延長PCA服務時間長度,才能繼續使用CA簽發認證。
是否啟用CRL服務
是否開啟CRL(Certificate Revocation List)服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務。
啟用方式選擇上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用根CA後,根CA的狀態將變更為啟用。如果根CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
啟用子CA
在私有CA頁簽,定位到目標根CA,單擊根CA名稱處的表徵圖。
定位到目標子CA,在操作列,單擊啟用。
在CA信息面板,配置子CA的資訊,單擊確認並啟用。
數位憑證管理服務支援使用建立CA認證和上傳CA認證及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。
啟用方式選擇建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
中間CA用途
根據子CA用途,選擇中間CA或使用者CA。
中間CA:可用於頒發下屬CA。
使用者CA:只能用於頒發使用者認證,例如服務端認證、用戶端認證等。
長度限制
中間CA用途選擇中間CA時,需配置中間CA長度,表示中間CA可以頒發下屬CA的最大長度。
取值為1~5。
重要長度限制為1,則下屬CA為使用者CA。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
樣本:中國。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256。
如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
該CA的有效時間長度。
該CA的有效期間時間長度與您建立私人子CA時選擇的服務時間長度有關,詳情如下:
服務時間長度<1年,子CA支援的有效期間範圍為1~20年。
服務時間長度>=1年,子CA支援的有效期間範圍為1~100年。
是否啟用CRL服務
是否開啟CRL服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務。
擴充金鑰使用方法
選擇擴充金鑰使用方法,即認證標識,便於您進行區分。
啟用方式選擇上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用子CA後,子CA的狀態將變更為啟用。如果子CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
步驟三:(可選)購買私人子CA
如果需要使用多個子CA,您可以在已建立的根CA下,通過付費購買建立多個子CA。新購買的子CA預設不包含任何認證資源。
在私有CA頁簽,定位到目標根CA,在操作列,單擊建立私人子CA。
在建立私人子CA面板,完成購買配置。
重要子CA使用的演算法需和根CA一致,不支援修改。
仔細閱讀並勾選認證管理服務服務合約,單擊立即購買並完成支付。
完成購買後,您可以在數位憑證管理服務控制台的私有證書頁面,查看已建立的私人子CA。新購的私人子CA預設為未啟用狀態,您需要先啟用,才能使用子CA簽發認證。
後續步驟
完成購買及啟用私人CA的操作後,您需要配置私人認證。具體操作,請參見管理私人認證。