全部產品
Search
文件中心

Certificate Management Service:購買及啟用私人CA

更新時間:Jun 30, 2024

阿里雲數位憑證管理服務提供PCA(Private Certificate Authority,即私人CA)服務,您可以在無需自建和維護公用密鑰基礎設施PKI(Public Key Infrastructure)的情況下,以較低的成本建立企業內部CA。本文介紹如何購買及啟用私人CA。

背景資訊

私人CA中一個根CA下可以包含多個子CA,只有子CA可用於簽發私人認證(包括服務端認證、用戶端認證)。

首次建立私人CA時,您必須先購買私人根CA。購買私人根CA後,您將會獲得一個根CA和一個子CA,且根CA預設包含10張私人認證資源(可以簽發10張私人認證)。您可以根據企業組織架構,在已有的根CA下繼續建立多個子CA(例如,為企業內不同部門分別建立對應的子CA)或者在私人根CA下購買認證並為子CA分配認證,增加子CA可以簽發的認證數量。

image..png

步驟一:購買私人根CA

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇認證管理 > PCA認證管理

  3. 私有CA頁簽,單擊購買私有根CA

  4. 在購買頁面,選擇認證演算法和購買時間長度,單擊立即購買並完成支付。

    • 認證演算法:私人CA簽發認證時所使用的密碼編譯演算法類型。可選項:RSASMECC

    • 服務時間長度:選擇私人認證服務使用時間長度。您可以在PCA服務使用時間長度內,通過私人CA簽發認證。

      重要
      • 服務到期後,私人CA將無法繼續簽發認證,即使支援簽發的認證數量還有剩餘。

      • 通過私人CA簽發的私人認證的有效期間最長不超過PCA服務的購買時間長度。例如,您購買了1個月的PCA服務,則通過私人CA簽發的認證的有效期間不超過30天。

步驟二:啟用私人CA

購買私人根CA後,您需要依次啟用根CA和子CA。只有啟用根CA後,您才能啟用根CA下的子CA。

啟用根CA

  1. 私有CA頁簽,定位到目標根CA,在操作列,單擊啟用

  2. CA信息面板,配置根CA的資訊,單擊確認並啟用

    數位憑證管理服務支援使用建立CA認證上傳CA認證及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。以下是相關說明:

    • 啟用方式選擇建立CA認證

      配置項

      描述

      啟用方式

      選擇建立CA認證

      一般名稱 (CN)

      該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。

      樣本:阿里雲。

      組織部門 (OU)

      該CA關聯的組織部門的名稱。支援使用中文或者英文。

      樣本:IT部。

      組織機構 (O)

      該CA關聯的組織機構的名稱。支援使用中文或者英文。

      樣本:阿里雲計算有限公司。

      城市名稱 (L)

      組織機構所在城市名稱。支援使用中文或者英文。

      樣本:杭州。

      省名稱 (S)

      組織機構所在省份名稱。支援使用中文或者英文。

      樣本:浙江。

      省/地區 (C)

      組織機構所在國家或地區名稱。支援使用中文或者英文。

      樣本:中國。

      私鑰算法

      該CA使用的私密金鑰密碼編譯演算法。

      根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:

      • 如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024RSA_2048RSA_4096

      • 如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256

      • 如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256ECC_384ECC_512

      有效期

      該CA的有效時間長度,表示允許該CA在指定時間長度(例如,5年)內簽發認證。

      該CA的有效期間時間長度與您購買私人根CA時選擇的服務時間長度有關,詳情如下:

      • 購買的服務時間長度<1年,根CA支援的有效期間範圍為1~20年。

      • 購買的服務時間長度>=1年,根CA支援的有效期間範圍為1~100年。

      說明

      如果您購買的PCA服務已經到期(例如,只購買了一個月的PCA服務,一個月後服務到期),則即使該CA仍然有效,也不能繼續簽發認證。這時您只有通過續約,延長PCA服務時間長度,才能繼續使用CA簽發認證。

      是否啟用CRL服務

      是否開啟CRL(Certificate Revocation List)服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務

    • 啟用方式選擇上傳CA認證及密鑰

      配置項

      描述

      啟用方式

      選擇上傳CA認證及密鑰

      認證檔案

      填寫認證檔案內容的PEM編碼。

      您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。

      認證私密金鑰

      填寫認證私密金鑰內容的PEM編碼。

      您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。

  3. 提示對話方塊確認資訊後,單擊確定

    成功啟用根CA後,根CA的狀態將變更為啟用。如果根CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA

啟用子CA

  1. 私有CA頁簽,定位到目標根CA,單擊根CA名稱處的摺疊表徵圖表徵圖。

  2. 定位到目標子CA,在操作列,單擊啟用

  3. CA信息面板,配置子CA的資訊,單擊確認並啟用

    數位憑證管理服務支援使用建立CA認證上傳CA認證及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。

    • 啟用方式選擇建立CA認證

      配置項

      描述

      啟用方式

      選擇建立CA認證

      中間CA用途

      根據子CA用途,選擇中間CA使用者CA

      • 中間CA:可用於頒發下屬CA。

      • 使用者CA:只能用於頒發使用者認證,例如服務端認證、用戶端認證等。

      長度限制

      中間CA用途選擇中間CA需配置中間CA長度表示中間CA可以頒發下屬CA的最大長度。

      取值為1~5。

      重要

      長度限制為1,則下屬CA為使用者CA。

      一般名稱 (CN)

      該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。

      樣本:阿里雲。

      組織部門 (OU)

      該CA關聯的組織部門的名稱。支援使用中文或者英文。

      樣本:IT部。

      組織機構 (O)

      該CA關聯的組織機構的名稱。支援使用中文或者英文。

      樣本:阿里雲計算有限公司。

      城市名稱 (L)

      組織機構所在城市名稱。支援使用中文或者英文。

      樣本:杭州。

      省名稱 (S)

      組織機構所在省份名稱。支援使用中文或者英文。

      樣本:浙江。

      省/地區 (C)

      組織機構所在國家或地區名稱。支援使用中文或者英文。

      樣本:中國。

      私鑰算法

      該CA使用的私密金鑰密碼編譯演算法。

      根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:

      • 如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024RSA_2048RSA_4096

      • 如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256

      • 如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256ECC_384ECC_512

      有效期

      該CA的有效時間長度。

      該CA的有效期間時間長度與您建立私人子CA時選擇的服務時間長度有關,詳情如下:

      • 服務時間長度<1年,子CA支援的有效期間範圍為1~20年。

      • 服務時間長度>=1年,子CA支援的有效期間範圍為1~100年。

      是否啟用CRL服務

      是否開啟CRL服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務

      擴充金鑰使用方法

      選擇擴充金鑰使用方法,即認證標識,便於您進行區分。

    • 啟用方式選擇上傳CA認證及密鑰

      配置項

      描述

      啟用方式

      選擇上傳CA認證及密鑰

      認證檔案

      填寫認證檔案內容的PEM編碼。

      您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。

      認證私密金鑰

      填寫認證私密金鑰內容的PEM編碼。

      您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。

  4. 提示對話方塊確認資訊後,單擊確定

    成功啟用子CA後,子CA的狀態將變更為啟用。如果子CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA

步驟三:(可選)購買私人子CA

如果需要使用多個子CA,您可以在已建立的根CA下,通過付費購買建立多個子CA。新購買的子CA預設不包含任何認證資源。

  1. 私有CA頁簽,定位到目標根CA,在操作列,單擊建立私人子CA

  2. 建立私人子CA面板,完成購買配置。

    重要

    子CA使用的演算法需和根CA一致,不支援修改。

  3. 仔細閱讀並勾選認證管理服務服務合約,單擊立即購買並完成支付。

    完成購買後,您可以在數位憑證管理服務控制台私有證書頁面,查看已建立的私人子CA。新購的私人子CA預設為未啟用狀態,您需要先啟用,才能使用子CA簽發認證。

後續步驟

完成購買及啟用私人CA的操作後,您需要配置私人認證。具體操作,請參見管理私人認證

相關文檔