全部产品
Search

搜索本产品

    :管理私有证书

    文档中心

    :管理私有证书

    更新时间:Aug 08, 2024

    在数字证书管理服务控制台创建并启用私有CA后,您可以通过子CA申请私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍如何配置私有证书。

    背景信息

    只有私有子CA可申请私有证书(即终端实体证书,包含服务端证书和客户端证书)。只有在服务端和客户端分别安装私有证书后,才可以在服务端和客户端之间建立可信通信。

    首次配置流程

    首次配置私有证书时,您需要按照以下流程操作:

    1. 分配私有证书

    2. 申请私有证书

    3. 下载私有证书

    4. 安装私有证书

    前提条件

    已购买并启用私有CA。相关操作,请参见购买及启用私有CA

    购买私有证书

    如果私有根CA包含的证书资源数量不能满足您的需求,您可以在私有根CA下购买证书,增加根CA下所有子CA能签发的证书数量。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

    3. 私有CA页签,定位到目标根CA,在操作列,单击购买证书

    4. 购买证书面板,输入您需要购买的证书数量,单击购买并完成支付。

      说明

      对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,请联系商务经理进行咨询

    分配私有证书

    根CA无法签发证书,只有子CA可以签发私有证书。在申请私有证书前,您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书:

    • 根CA和子CA为启用状态。

    • 根CA下的证书剩余数量不为0。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

    3. 私有CA页签,定位到目标根CA,在证书剩余数量/总数量列,单击分配证书

    4. 分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量,单击确定

    申请私有证书

    只有在子CA的证书剩余数量不为0时,您才可以在子CA下申请私有证书。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

    3. 私有CA页签,定位到目标子CA,在操作列,单击申请证书

    4. 申请证书面板,完成证书信息配置,单击确认申请

      提交证书申请后,私有CA证书会立即签发。私有证书签发后,您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书信息。

      5. 配置项

      描述

      证书类型

      • 服务端证书:用于安装到应用服务器。

      • 客户端证书:用于安装到访问应用的客户端。

      公用名 (CN)

      私有证书主体的通用名称。

      有效期

      私有证书的有效期。

      私有证书有效期时长与您购买的子CA服务时长有关,详情如下:

      • 购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明

      • 购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。

      扩展SAN

      私有证书的SAN扩展属性。

      • 如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。

      • 服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。

      • 最多支持添加10个SAN扩展属性。

      说明

      SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

      URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。

      更多设置

      如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。

      是否包含CRL地址

      默认开启。关于CRL的更多信息,请参见CRL服务

    下载私有证书

    通过子CA签发私有证书后,您可以下载私有证书,然后分发给对应的证书主体进行安装使用。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

    3. 私有CA页签,定位到目标子CA,在操作列,单击证书列表

    4. 证书列表页面,定位到目标私有证书,在操作列,单击下载

    5. 证书下载对话框,选择需要下载的证书格式,单击确认并下载

    安装私有证书

    下载私有证书后,您需要将服务端证书安装到应用服务器上,客户端证书安装至客户端浏览器。服务端证书安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作,请参见SSL证书安装指南

    吊销私有证书

    私有证书过期前,如果不再需要使用私有证书,您可以在数字证书管理服务控制台吊销该私有证书。

    警告

    私有证书吊销、删除后,将不再被企业内部环境所信任,且无法恢复和重新启用,请您谨慎操作。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

    3. 私有CA页签,定位到目标子CA,在操作列,单击证书列表

    4. 证书列表页面,定位到目标私有证书,在操作列,单击吊销

    5. 确认对话框,单击吊销

      确认吊销后,该私有证书会立即被吊销。证书状态将变更为吊销,这时您可以从证书列表中删除该私有证书。