管理私人認證

更新時間:
Copy as MD

啟用私人CA後,您可以通過子CA簽發私人認證,用於企業內部應用的身份認證和資料加解密。本文介紹私人認證的購買、分配、申請、下載、安裝和吊銷操作。

背景資訊

私人認證(即終端實體認證)包含服務端認證和用戶端認證,只能由私人子CA簽發。服務端和用戶端分別安裝對應的私人認證後,即可建立可信的加密通訊。

首次配置流程

首次配置私人認證時,請按以下流程操作:

  1. 分配私人認證

  2. 申請私人認證

  3. 下載私人認證

  4. 安裝私人認證

前提條件

已購買並啟用私人CA。具體操作,請參見購買及啟用私人CA

購買私人認證

如果根CA包含的認證資源不足,您可以購買額外認證,增加根CA下所有子CA可簽發的認證數量。

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇证书管理 > PCA證書管理,在PCA證書管理頁面,選擇PCA服務所在地區。

  3. 私有CA頁簽,定位到目標根CA,在操作列,單擊購買認證

  4. 購買認證面板,輸入需要購買的認證數量,單擊購買並完成支付。

    說明

    單個根CA累計購買的認證數量超過一定閾值後,超出部分將減免費用。具體減免閾值,請聯絡商務經理進行諮詢

分配私人認證

CA無法直接簽發認證,您需要先將根CA的認證資源分派給子CA。分配前,根CA和子CA須同時滿足以下條件:

  • CA和子CA均處於啟用狀態。

  • CA的認證剩餘數量大於0。

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇证书管理 > PCA證書管理,在PCA證書管理頁面,選擇PCA服務所在地區。

  3. 私有CA頁簽,定位到目標根CA,在證書剩餘數量列,單擊分配認證

  4. 分配認證面板,選擇目標子CA並設定證書剩餘數量,單擊確定

申請私人認證

CA證書剩餘數量大於0時,您才可以通過該子CA申請私人認證。

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇证书管理 > PCA證書管理,在PCA證書管理頁面,選擇PCA服務所在地區。

  3. 私有CA頁簽,定位到目標子CA,在操作列,單擊申請證書

  4. 申請證書面板,填寫認證配置資訊,單擊確認申請

    提交申請後,私人CA認證將立即簽發。認證簽發後,您可以單擊子CA操作列下的證書列表,在證書列表頁面查看已簽發的認證。

  5. 配置項

    描述

    認證類型

    • 服務端證書:安裝到應用伺服器,用於服務端身份認證。

    • 客戶端證書:安裝到用戶端,用於用戶端身份認證。

    一般名稱 (CN)

    認證主體的通用名稱(Common Name)。

    有效期

    私人認證的有效期間。

    有效期間與子CA服務時間長度相關:

    • 服務時間長度<1年:認證有效期間不能超過已購買的PCA服務時間長度。例如,購買了1個月的PCA服務,可簽發的認證最長有效期間不超過31天。如需更長有效期間,請通過續約延長PCA服務時間長度。續約操作,請參見續約說明

    • 服務時間長度≥1年:認證有效期間範圍為1~100年。

    擴展SAN

    認證的SAN擴充屬性,用於將認證應用到多個主體。

    • 如果認證需要應用到多個主體,可通過SAN擴充添加其他主體資訊。

    • 服務端認證支援填寫網域名稱或IP地址,用戶端認證支援填寫郵箱地址或URI。

    • 最多支援10SAN擴充屬性。

    說明

    SAN(Subject Alternative Name)是SSL標準X509中定義的擴充欄位,允許一張認證支援多個不同網域名稱的解析。

    URI(Uniform Resource Identifier)是統一資源識別項,用於標識認證歸屬的阿里雲資源,例如私人認證部署的Elastic Compute Service。

    更多設定

    如需在認證中添加認證名稱、公司或部門資訊,單擊更多設定進行配置。

    是否包含CRL地址

    預設開啟。關於CRL的更多資訊,請參見CRL服務

下載私人認證

認證簽發後,您可以下載私人認證並分發給對應的認證主體進行安裝。

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇证书管理 > PCA證書管理,在PCA證書管理頁面,選擇PCA服務所在地區。

  3. 私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表

  4. 證書列表頁面,定位到目標私人認證,在操作列,單擊下載

  5. 認證下載對話方塊,選擇認證格式,單擊確認並下載

安裝私人認證

下載私人認證後,將服務端認證安裝到應用伺服器,用戶端認證安裝到用戶端瀏覽器。服務端認證的安裝方法與SSL認證相同,具體操作請參見部署SSL認證

吊銷私人認證

私人認證到期前,如果不再需要使用,您可以將其吊銷。

警告

私人憑證撤銷或刪除後,將不再被企業內部環境信任,且無法恢複或重新啟用,請謹慎操作。

  1. 登入數位憑證管理服務控制台

  2. 在左側導覽列,選擇证书管理 > PCA證書管理,在PCA證書管理頁面,選擇PCA服務所在地區。

  3. 私有CA頁簽,定位到目標子CA,在操作列,單擊證書列表

  4. 證書列表頁面,定位到目標私人認證,在操作列,單擊吊銷

  5. 確認對話方塊,單擊吊銷

    確認後,認證將立即被吊銷。認證狀態變更為吊銷,此時您可以從認證列表中刪除該認證。