管理私人認證
啟用私人CA後,您可以通過子CA簽發私人認證,用於企業內部應用的身份認證和資料加解密。本文介紹私人認證的購買、分配、申請、下載、安裝和吊銷操作。
背景資訊
私人認證(即終端實體認證)包含服務端認證和用戶端認證,只能由私人子CA簽發。服務端和用戶端分別安裝對應的私人認證後,即可建立可信的加密通訊。
首次配置流程
前提條件
已購買並啟用私人CA。具體操作,請參見購買及啟用私人CA。
購買私人認證
如果根CA包含的認證資源不足,您可以購買額外認證,增加根CA下所有子CA可簽發的認證數量。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標根CA,在操作列,單擊購買認證。
在購買認證面板,輸入需要購買的認證數量,單擊購買並完成支付。
說明單個根CA累計購買的認證數量超過一定閾值後,超出部分將減免費用。具體減免閾值,請聯絡商務經理進行諮詢。
分配私人認證
根CA無法直接簽發認證,您需要先將根CA的認證資源分派給子CA。分配前,根CA和子CA須同時滿足以下條件:
根CA和子CA均處於啟用狀態。
根CA的認證剩餘數量大於0。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標根CA,在證書剩餘數量列,單擊分配認證。
在分配認證面板,選擇目標子CA並設定證書剩餘數量,單擊確定。
申請私人認證
子CA的證書剩餘數量大於0時,您才可以通過該子CA申請私人認證。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標子CA,在操作列,單擊申請證書。
在申請證書面板,填寫認證配置資訊,單擊確認申請。
提交申請後,私人CA認證將立即簽發。認證簽發後,您可以單擊子CA操作列下的證書列表,在證書列表頁面查看已簽發的認證。
服務端證書:安裝到應用伺服器,用於服務端身份認證。
客戶端證書:安裝到用戶端,用於用戶端身份認證。
服務時間長度<1年:認證有效期間不能超過已購買的PCA服務時間長度。例如,購買了1個月的PCA服務,可簽發的認證最長有效期間不超過31天。如需更長有效期間,請通過續約延長PCA服務時間長度。續約操作,請參見續約說明。
服務時間長度≥1年:認證有效期間範圍為1~100年。
如果認證需要應用到多個主體,可通過SAN擴充添加其他主體資訊。
服務端認證支援填寫網域名稱或IP地址,用戶端認證支援填寫郵箱地址或URI。
最多支援10個SAN擴充屬性。
配置項 | 描述 |
認證類型 | |
一般名稱 (CN) | 認證主體的通用名稱(Common Name)。 |
有效期 | 私人認證的有效期間。 有效期間與子CA服務時間長度相關: |
擴展SAN | 認證的SAN擴充屬性,用於將認證應用到多個主體。 說明 SAN(Subject Alternative Name)是SSL標準X509中定義的擴充欄位,允許一張認證支援多個不同網域名稱的解析。 URI(Uniform Resource Identifier)是統一資源識別項,用於標識認證歸屬的阿里雲資源,例如私人認證部署的Elastic Compute Service。 |
更多設定 | 如需在認證中添加認證名稱、公司或部門資訊,單擊更多設定進行配置。 |
是否包含CRL地址 | 預設開啟。關於CRL的更多資訊,請參見CRL服務。 |
下載私人認證
認證簽發後,您可以下載私人認證並分發給對應的認證主體進行安裝。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表。
在證書列表頁面,定位到目標私人認證,在操作列,單擊下載。
在認證下載對話方塊,選擇認證格式,單擊確認並下載。
安裝私人認證
下載私人認證後,將服務端認證安裝到應用伺服器,用戶端認證安裝到用戶端瀏覽器。服務端認證的安裝方法與SSL認證相同,具體操作請參見部署SSL認證。
吊銷私人認證
私人認證到期前,如果不再需要使用,您可以將其吊銷。
私人憑證撤銷或刪除後,將不再被企業內部環境信任,且無法恢複或重新啟用,請謹慎操作。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA證書管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表。
在證書列表頁面,定位到目標私人認證,在操作列,單擊吊銷。
在確認對話方塊,單擊吊銷。
確認後,認證將立即被吊銷。認證狀態變更為吊銷,此時您可以從認證列表中刪除該認證。