私人CA通常適用於企業內部應用資料需要加密的情境,例如,內部的OA、HR等系統。本文介紹如何購買及啟用私人CA服務。
私人 CA 選型
在開始之前,請根據業務需求選擇合適的私人CA類型。PCA服務提供企業私人 CA和阿里雲共用 CA兩種類型,它們在自訂能力、啟用方式、架構靈活性和成本方面有顯著差異。
對比項 | 企業私人 CA | 阿里雲共用 CA |
CA 自訂能力 | 支援。可完全自訂根CA及各級子CA的頒發者身份、組織等資訊。 | 不支援。與其他使用者共用由阿里雲建立並管理的根CA。 |
啟用方式 | 手動啟用。購買後需要手動設定並啟用根CA和子CA。 | 自動啟用。購買後預設啟用根CA和子CA,可直接使用。 |
組織架構支援 | 支援。可建立多級中間CA,以匹配複雜的企業部門或組織層級。 | 不支援。無法建立多級CA架構,結構扁平。 |
成本 | 成本較高,適合對CA有強管控和品牌自訂需求的大型企業。 | 成本較低,適合需要快速、低成本為內部應用加密的情境。 |
企業私人CA
企業私人CA的根或中間根由企業自主建立(即可以自訂根CA或中間CA的頒發者身份和歸屬組織等資訊),且企業私人CA可以建立多級中間CA,滿足企業多級組織架構需求。
步驟一:購買私人根CA
首次建立私人CA時,您必須先購買私人根CA。購買私人根CA後,您將會獲得一個根CA和一個子CA,且根CA預設包含10張私人認證資源(可以簽發10張認證)。
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,單擊購買私有根CA。
在購買頁面,選擇認證演算法和購買時間長度,單擊立即購買並完成支付。
認證演算法:簽發認證時所使用的密碼編譯演算法類型。可選項:RSA、SM、ECC。
服務時間長度:選擇PCA服務使用時間長度。您可以在PCA服務使用時間長度內,簽發認證。
重要服務到期後,將無法繼續簽發認證,即使支援簽發的認證數量還有剩餘。
通過CA簽發的認證的有效期間最長不超過PCA服務的購買時間長度。例如,您購買了1個月的PCA服務,則通過CA簽發的認證的有效期間不超過30天。
步驟二:啟用私人根CA和子CA
購買私人根CA後,需依次啟用根CA和子CA。只有啟用根CA後,才能啟用根CA下的子CA。
啟用根CA
在私有CA頁簽,定位到目標根CA,在操作列,單擊啟用。
在CA信息面板,配置根CA的資訊,單擊確認並啟用。
數位憑證管理服務支援多種方式啟用根CA,請根據業務需求選擇不同的方式,具體配置如下:
建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256。
如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
根CA的有效時間長度。
根CA的有效期間時間長度與您購買的根CA服務時間長度有關,詳情如下:
購買根CA服務時間長度<1年,根CA支援的有效期間範圍為1~20年。
購買根CA服務時間長度>=1年,根CA支援的有效期間範圍為1~100年。
說明僅可在PCA服務的有效使用時間長度內簽發認證。服務到期後,將無法繼續簽發認證,未使用的私人認證資源也將不可用。
是否啟用CRL服務
是否開啟CRL(Certificate Revocation List)服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。更多資訊,請參見CRL服務。
上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用根CA後,根CA的狀態將變更為啟用。如果根CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
啟用子CA
在私有CA頁簽,定位到目標根CA,單擊根CA名稱處的
表徵圖。定位到目標子CA,在操作列,單擊啟用。
在CA信息面板,配置子CA的資訊,單擊確認並啟用。
數位憑證管理服務支援多種方式啟用子CA,請根據業務需求選擇不同的方式,具體配置如下:
建立CA認證
配置項
描述
啟用方式
選擇建立CA認證。
中間CA用途
根據子CA用途,選擇中間CA或使用者CA。
中間CA:可用於頒發下屬CA。
使用者CA:只能用於頒發使用者認證,例如服務端認證、用戶端認證等。
長度限制
中間CA用途選擇中間CA時,需配置中間CA長度,表示中間CA可以頒發下屬CA的最大長度。
取值為1~5。
重要長度限制為1,則下屬CA為使用者CA。
一般名稱 (CN)
該CA關聯的組織機構的通用名稱(或簡稱)。支援使用中文或者英文。
樣本:阿里雲。
組織部門 (OU)
該CA關聯的組織部門的名稱。支援使用中文或者英文。
樣本:IT部。
組織機構 (O)
該CA關聯的組織機構的名稱。支援使用中文或者英文。
樣本:阿里雲計算有限公司。
城市名稱 (L)
組織機構所在城市名稱。支援使用中文或者英文。
樣本:杭州。
省名稱 (S)
組織機構所在省份名稱。支援使用中文或者英文。
樣本:浙江。
省/地區 (C)
組織機構所在國家或地區名稱。支援使用中文或者英文。
樣本:中國。
私鑰算法
該CA使用的私密金鑰密碼編譯演算法。
根據您在購買該PCA服務時選擇的密碼編譯演算法不同,此處支援選擇私密金鑰演算法也不同。具體說明如下:
如果CA密碼編譯演算法是RSA,則此處私密金鑰演算法的可選項包括:RSA_1024、RSA_2048、RSA_4096。
如果CA密碼編譯演算法是SM(國密),則此處私密金鑰演算法的可選項包括:SM2_256。
如果CA密碼編譯演算法是ECC,則此處私密金鑰演算法的可選項包括:ECC_256、ECC_384、ECC_512。
有效期
子CA的有效期間時間長度。
子CA的有效期間時間長度與您購買的私人子CA時間長度有關,詳情如下:
購買的時間長度<1年,子CA有效期間範圍為1~20年。
購買的時間長度>=1年,子CA有效期間範圍為1~100年。
是否啟用CRL服務
是否開啟CRL服務,開啟後,您可以通過CRL查看已吊銷的CA認證資訊。關於CRL的更多資訊,請參見CRL服務。
擴充金鑰使用方法
選擇擴充金鑰使用方法,即認證標識,便於您進行區分。
上傳CA認證及密鑰
配置項
描述
啟用方式
選擇上傳CA認證及密鑰。
認證檔案
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳檔案解析,並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
在提示對話方塊確認資訊後,單擊確定。
成功啟用子CA後,子CA的狀態將變更為啟用。如果子CA資訊填寫有誤需要修改,您可以重設該CA,具體操作,請參見重設私人CA。
步驟三:(可選)購買私人子CA
您可以根據企業組織架構,在已有的根CA下繼續建立多個子CA(例如,為企業內不同部門分別建立對應的子CA)。新購買的子CA預設不包含任何認證資源。
在私有CA頁簽,定位到目標根CA,在操作列,單擊建立私人子CA。
在建立私人子CA面板,完成購買配置。
重要子CA使用的演算法需和根CA一致,不支援修改。
仔細閱讀並勾選服務合約,單擊立即購買並完成支付。
步驟四:配置私人認證
完成購買及啟用私人CA的操作後,您需要配置私人認證。具體操作,請參見管理私人認證。