在数字证书管理服务控制台创建并启用私有CA后,您可以通过子CA申请私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍如何配置私有证书。

背景信息

只有私有子CA可申请私有证书(即终端实体证书,包含服务端证书和客户端证书)。只有在服务端和客户端分别安装私有证书后,才可以在服务端和客户端之间建立可信通信。

首次配置流程

首次配置私有证书时,您需要按照以下流程操作:
  1. 分配私有证书
  2. 申请私有证书
  3. 导出私有证书
  4. 安装私有证书

前提条件

已购买并启用私有CA。相关操作,请参见购买及启用私有CA

购买私有证书

如果私有根CA包含的证书资源数量不能满足您的需求,您可以在私有根CA下购买证书,增加根CA下所有子CA能签发的证书数量。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面,单击目标根CA操作列下的购买证书
  4. 购买证书面板,输入您需要购买的证书数量。
    说明 对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,请搜索钉钉群(群号为32435999)并加入该群咨询
  5. 单击购买并完成支付。

分配私有证书

根CA无法签发证书,只有子CA可以签发私有证书。在申请私有证书前,您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书:

  • 根CA为启用状态。
  • 根CA下的证书剩余数量不为0。
  • 子CA为启用状态。
  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面,单击目标根CA证书剩余数量/总数量列下的分配证书
  4. 分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量。
  5. 单击确定

申请私有证书

只有在子CA的证书剩余数量不为0时,您才可以在子CA下申请私有证书。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面,单击目标子CA操作列下的申请证书
  4. 申请证书面板,完成证书信息配置。

    配置说明如下表所示。
    参数 说明
    证书类型 私有证书的类型。可选项:
    • 服务端证书:用于安装到应用的服务器。
    • 客户端证书:用于安装到访问应用的客户端浏览器。
    公用名(CN) 私有证书主体的通用名称。
    有效期 私有证书的有效期。
    扩展SAN 私有证书的SAN扩展属性。如果该证书需要应用到多个主体,您可以通过 SAN 扩展添加其他主体的信息。

    服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或 URI

    最多支持添加10个SAN扩展属性。

    更多设置 如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置并配置以下参数。
    证书名称 私有证书的名称。
    公司(O) 使用私有证书的公司名称。
    部门(OU) 使用私有证书的部门名称。
  5. 单击确认申请
    提交证书申请后,证书会立即签发。您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书信息。

导出私有证书

通过子CA签发私有证书后,您可以导出私有证书,然后分发给对应的证书主体进行安装使用。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面,单击目标子CA操作列下的证书列表
  4. 证书列表页面,单击目标私有证书操作列下的详情
  5. 证书详情面板,选中查看私钥内容
  6. 请输入密码文本框中,设置一个私钥加密密码,并单击导出
    私钥加密密码由8位字符组成,必须同时包含数字、英文大写字符和英文小写字符。该密码用于对您要导出的证书私钥进行加密,后续安装私有证书时(例如,执行OpenSSL命令操作),需要您使用此处设置的密码对私钥解密。建议您妥善保存该密码。
    导出成功后,证书详情面板下方将会显示该私有证书的证书内容证书链内容私钥内容
  7. 复制私有证书信息,分发给需要使用该私有证书的主体安装使用。

安装私有证书

安装服务端证书

您需要将服务端证书安装到应用服务器上。安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作,请参见SSL证书安装指南

安装客户端证书

  1. 安装证书链。
    说明 服务端证书均没有预安装到浏览器,需要客户端单独安装证书链,才能规避浏览器出现不安全提示。
    1. 新建一个TXT文件,将证书链内容复制粘贴进去,并将文件保存为.cert格式。
    2. 将.cert文件分发给要安装客户端证书的用户。
    3. 用户在客户端双击.cert文件,即可将证书链安装到客户端浏览器。
  2. 安装证书。
    1. 新建一个TXT文件,将证书内容复制粘贴进去,并将文件保存为.cert格式。
    2. 将.cert文件分发给要安装客户端证书的用户。
    3. 用户在客户端双击.cert文件,即可将证书安装到客户端浏览器。

吊销私有证书

私有证书过期前,如果不再需要使用私有证书,您可以在数字证书管理服务控制台吊销该私有证书。已吊销的私有证书将不再被企业内部环境所信任。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面,单击目标子CA操作列下的证书列表
  4. 证书列表页面,单击目标私有证书操作列下的吊销
  5. 确认对话框,单击吊销
    确认吊销后,该私有证书会立即被吊销。证书状态将变更为吊销,这时您可以从证书列表中删除该私有证书。