本文介绍如何通过私有CA服务签发客户端或服务端证书。
前提条件
操作步骤
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,定位到目标子CA,在操作列,单击申请证书。
在申请证书面板,参考下表完成证书信息配置,单击确认申请。
提交证书申请后,私有CA证书会立即签发。签发后,您可以单击子CA操作列下的证书列表,查看已签发的证书信息。
配置项
描述
证书类型
服务端证书:用于安装到应用服务器。
客户端证书:用于安装到访问应用的客户端。
姓名
仅客户端证书需配置。
用于标识该客户端用户的唯一标识。
公用名 (CN)
仅服务端证书需配置。
私有证书主体的通用名称,请输入域名或IP。
有效期
私有证书有效期时长与您购买的子CA服务时长有关,详情如下:
购买的服务时长<1年,私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见续费说明。
购买的服务时长≥1年,私有证书支持的有效期范围为1~100年。
扩展SAN
私有证书的SAN扩展属性。
如果该证书需要应用到多个主体,您可以通过SAN扩展添加其他主体的信息。
服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或URI。
最多支持添加10个SAN扩展属性。
说明SAN(Subject Alternative Name)是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。
URI(Uniform Resource Identifier)是统一资源标识符,用来标识该证书归属的阿里云资源,例如,可以用来标识该私有证书部署的云服务器ECS。
更多设置
如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置进行配置。
是否包含CRL地址
默认开启。关于CRL的更多信息,请参见CRL服务。
后续步骤
签发私有证书后,您可以下载证书至本地,并安装至对应的客户端或服务器。相关说明,请参见下载私有证书。