本文介紹如何通過私有CA服務簽發客戶端或服務端證書。
前提條件
操作步驟
登錄數字證書管理服務控制臺。
在左側導航欄,選擇,在PCA證書管理頁面,選擇PCA服務所在地域。
在私有CA頁簽,定位到目標子CA,在操作列,單擊申請證書。
在申請證書面板,參考下表完成證書信息配置,單擊確認申請。
提交證書申請后,私有CA證書會立即簽發。簽發后,您可以單擊子CA操作列下的證書列表,查看已簽發的證書信息。
配置項
描述
證書類型
服務端證書:用于安裝到應用服務器。
客戶端證書:用于安裝到訪問應用的客戶端。
姓名
僅客戶端證書需配置。
用于標識該客戶端用戶的唯一標識。
公用名 (CN)
僅服務端證書需配置。
私有證書主體的通用名稱,請輸入域名或IP。
有效期
私有證書有效期時長與您購買的子CA服務時長有關,詳情如下:
購買的服務時長<1年,私有證書有效期不能超過您購買的PCA服務的時長。例如,您購買了1個月的PCA服務,則可以簽發的證書的最長有效期不超過31天。如果您需要更長的證書有效期,建議您通過續費,延長PCA的服務的時長。續費操作,請參見續費說明。
購買的服務時長≥1年,私有證書支持的有效期范圍為1~100年。
擴展SAN
私有證書的SAN擴展屬性。
如果該證書需要應用到多個主體,您可以通過SAN擴展添加其他主體的信息。
服務端證書支持填寫服務域名或服務器IP地址,客戶端證書支持填寫用戶郵箱地址或URI。
最多支持添加10個SAN擴展屬性。
說明SAN(Subject Alternative Name)是SSL標準X509中定義的一個擴展。使用了SAN字段的SSL證書,可以擴展此證書支持的域名,使得一個證書可以支持多個不同域名的解析。
URI(Uniform Resource Identifier)是統一資源標識符,用來標識該證書歸屬的阿里云資源,例如,可以用來標識該私有證書部署的云服務器ECS。
更多設置
如果您需要在證書中添加證書名稱、公司和部門信息,您可以單擊更多設置進行配置。
是否包含CRL地址
默認開啟。關于CRL的更多信息,請參見CRL服務。