阿里云數字證書管理服務提供PCA(Private Certificate Authority,即私有CA)服務,您可以在無需自建和維護公共密鑰基礎設施PKI(Public Key Infrastructure)的情況下,以較低的成本創建企業內部CA。本文介紹如何購買及啟用私有CA。
背景信息
私有CA中一個根CA下可以包含多個子CA,只有子CA可用于簽發私有證書(包括服務端證書、客戶端證書)。
首次創建私有CA時,您必須先購買私有根CA。購買私有根CA后,您將會獲得一個根CA和一個子CA,且根CA默認包含10張私有證書資源(可以簽發10張私有證書)。您可以根據企業組織架構,在已有的根CA下繼續創建多個子CA(例如,為企業內不同部門分別創建對應的子CA)或者在私有根CA下購買證書并為子CA分配證書,增加子CA可以簽發的證書數量。
步驟一:購買私有根CA
登錄數字證書管理服務控制臺。
在左側導航欄,選擇。
在私有CA頁簽,單擊購買私有根CA。
在購買私有根CA面板,完成購買配置。
配置項
描述
商品模塊
默認已選擇PCA服務,表示為企業創建一套CA服務,供企業維護和管理證書。
PCA用途
默認已選擇企業對內使用(無監管需求),表示適用于企業內部系統(例如,OA、HR系統)的網絡通信需要采用加密技術,實現應用數據的安全傳輸、用戶身份認證等目的。一般不涉及監管、行業規范等要求。
商品規格
默認已選擇創建根CA。
證書算法
選擇通過私有CA簽發證書時所使用的加密算法類型。
可選項:RSA、SM(國密)、ECC。
購買時長
選擇服務使用時長。
購買時長<1年,根CA有效期最大可設置為20年;購買時長>=1年,根CA有效期最大可設置為100年。
說明您可以在PCA服務使用時長內,通過私有CA簽發證書。服務到期后,私有CA將無法繼續簽發證書,即使支持簽發的證書數量還有剩余。
仔細閱讀并勾選證書管理服務服務協議,單擊立即購買并完成支付。
完成購買后,您可以在數字證書管理服務控制臺的私有證書頁面,查看已創建的私有CA。創建根CA后,您將會獲得一個根CA和一個子CA,且根CA和子CA的狀態默認都是未啟用。
步驟二:啟用私有CA
購買私有根CA后,您需要依次啟用根CA和子CA。只有啟用根CA后,您才能啟用根CA下的子CA。
啟用根CA
在私有CA頁簽,定位到目標根CA,在操作列,單擊啟用。
在CA信息面板,配置根CA的信息,單擊確認并啟用。
數字證書管理服務支持使用創建CA證書和上傳CA證書及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。以下是相關說明:
啟用方式選擇創建CA證書
配置項
描述
啟用方式
選擇創建CA證書。
公用名 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支持使用中文或者英文。
示例:阿里云。
組織部門 (OU)
該CA關聯的組織部門的名稱。支持使用中文或者英文。
示例:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支持使用中文或者英文。
示例:阿里云計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支持使用中文或者英文。
示例:杭州。
省名稱 (S)
組織機構所在省份名稱。支持使用中文或者英文。
示例:浙江。
國家/地區 (C)
組織機構所在國家或地區名稱。支持使用中文或者英文。
私鑰算法
該CA使用的私鑰加密算法。
根據您在購買該PCA服務時選擇的加密算法不同,此處支持選擇私鑰算法也不同。具體說明如下:
如果CA加密算法是RSA,則此處私鑰算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA加密算法是SM(國密),則此處私鑰算法的可選項包括:SM2_256。
如果CA加密算法是ECC,則此處私鑰算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
該CA的有效時長,表示允許該CA在指定時長(例如,5年)內簽發證書。
該CA的有效期時長與您購買私有根CA時選擇的服務時長有關,詳情如下:
購買的服務時長<1年,根CA支持的有效期范圍為1~20年。
購買的服務時長>=1年,根CA支持的有效期范圍為1~100年。
說明如果您購買的PCA服務已經過期(例如,只購買了一個月的PCA服務,一個月后服務過期),則即使該CA仍然有效,也不能繼續簽發證書。這時您只有通過續費,延長PCA服務時長,才能繼續使用CA簽發證書。
是否啟用CRL服務
是否開啟CRL(Certificate Revocation List)服務,開啟后,您可以通過CRL查看已吊銷的CA證書信息。更多信息,請參見CRL服務。
啟用方式選擇上傳CA證書及密鑰
配置項
描述
啟用方式
選擇上傳CA證書及密鑰。
證書文件
填寫證書文件內容的PEM編碼。
您可以使用文本編輯工具打開PEM或者CRT格式的證書文件,復制其中的內容并粘貼到該文本框,或者單擊該文本框下的上傳,并選擇存儲在本地計算機的證書文件,將文件內容上傳到文本框。
證書私鑰
填寫證書私鑰內容的PEM編碼。
您可以使用文本編輯工具打開KEY格式的證書私鑰文件,復制其中的內容并粘貼到該文本框,或者單擊該文本框下的上傳,并選擇存儲在本地計算機的證書私鑰文件,將文件內容上傳到文本框。
在提示對話框確認信息后,單擊確定。
成功啟用根CA后,根CA的狀態將變更為啟用。如果根CA信息填寫有誤需要修改,您可以重置該CA,具體操作,請參見重置私有CA。
啟用子CA
在私有CA頁簽,定位到目標根CA,單擊根CA名稱處的
圖標。定位到目標子CA,在操作列,單擊啟用。
在CA信息面板,配置子CA的信息,單擊確認并啟用。
數字證書管理服務支持使用創建CA證書和上傳CA證書及密鑰的方式啟用CA。選擇不同的方式,需要配置不同的參數。
啟用方式選擇創建CA證書
配置項
描述
啟用方式
選擇創建CA證書。
中間CA用途
根據子CA用途,選擇中間CA或用戶CA。
中間CA:可用于頒發下屬CA。
用戶CA:只能用于頒發用戶證書,例如服務端證書、客戶端證書等。
長度限制
中間CA用途選擇中間CA時,需配置中間CA長度,表示中間CA可以頒發下屬CA的最大長度。
取值為1~5。
重要長度限制為1,則下屬CA為用戶CA。
公用名 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支持使用中文或者英文。
示例:阿里云。
組織部門 (OU)
該CA關聯的組織部門的名稱。支持使用中文或者英文。
示例:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支持使用中文或者英文。
示例:阿里云計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支持使用中文或者英文。
示例:杭州。
省名稱 (S)
組織機構所在省份名稱。支持使用中文或者英文。
示例:浙江。
國家/地區 (C)
組織機構所在國家或地區名稱。支持使用中文或者英文。
示例:中國。
私鑰算法
該CA使用的私鑰加密算法。
根據您在購買該PCA服務時選擇的加密算法不同,此處支持選擇私鑰算法也不同。具體說明如下:
如果CA加密算法是RSA,則此處私鑰算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA加密算法是SM(國密),則此處私鑰算法的可選項包括:SM2_256。
如果CA加密算法是ECC,則此處私鑰算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
該CA的有效時長。
該CA的有效期時長與您創建私有子CA時選擇的服務時長有關,詳情如下:
服務時長<1年,子CA支持的有效期范圍為1~20年。
服務時長>=1年,子CA支持的有效期范圍為1~100年。
是否啟用CRL服務
是否開啟CRL服務,開啟后,您可以通過CRL查看已吊銷的CA證書信息。更多信息,請參見CRL服務。
擴展密鑰用法
選擇擴展密鑰用法,即證書標識,便于您進行區分。
啟用方式選擇上傳CA證書及密鑰
配置項
描述
啟用方式
選擇上傳CA證書及密鑰。
證書文件
填寫證書文件內容的PEM編碼。
您可以使用文本編輯工具打開PEM或者CRT格式的證書文件,復制其中的內容并粘貼到該文本框,或者單擊該文本框下的上傳,并選擇存儲在本地計算機的證書文件,將文件內容上傳到文本框。
證書私鑰
填寫證書私鑰內容的PEM編碼。
您可以使用文本編輯工具打開KEY格式的證書私鑰文件,復制其中的內容并粘貼到該文本框,或者單擊該文本框下的上傳,并選擇存儲在本地計算機的證書私鑰文件,將文件內容上傳到文本框。
在提示對話框確認信息后,單擊確定。
成功啟用子CA后,子CA的狀態將變更為啟用。如果子CA信息填寫有誤需要修改,您可以重置該CA,具體操作,請參見重置私有CA。
步驟三:(可選)購買私有子CA
如果需要使用多個子CA,您可以在已創建的根CA下,通過付費購買創建多個子CA。新購買的子CA默認不包含任何證書資源。
在私有CA頁簽,定位到目標根CA,在操作列,單擊創建私有子CA。
在創建私有子CA面板,完成購買配置。
重要子CA使用的算法需和根CA一致,不支持修改。
仔細閱讀并勾選證書管理服務服務協議,單擊立即購買并完成支付。
完成購買后,您可以在數字證書管理服務控制臺的私有證書頁面,查看已創建的私有子CA。新購的私有子CA默認為未啟用狀態,您需要先啟用,才能使用子CA簽發證書。
后續步驟
完成購買及啟用私有CA的操作后,您需要配置私有證書。具體操作,請參見管理私有證書。