阿里云数字证书管理服务提供PCA(私有CA)服务,您可以在无需自建和维护公共密钥基础设施(PKI)的情况下,以较低的成本创建企业内部CA。本文介绍如何购买及启用私有CA。

背景信息

私有CA分为根CA和子CA(即中间CA),一个根CA下可以包含多个子CA。只有子CA可用于签发私有证书(包括服务端证书、客户端证书)。

首次创建私有CA时,您必须先创建根CA。创建根CA后,您将会获得一个根CA和一个子CA,且根CA默认包含10张私有证书资源(可以签发10张私有证书)。您可以根据企业组织架构,在已有的根CA下继续创建多个子CA(例如,为企业内不同部门分别创建对应的子CA)或者在私有根CA下购买证书并为子CA分配证书,增加子CA可以签发的证书数量。

步骤一:购买私有根CA

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面私有CA页签下,单击购买私有根CA
  4. 在购买页面,选择证书算法和购买时长。
    • 证书算法:私有CA签发证书时所使用的加密算法类型。可选项:RSASMECC
    • 购买时长:选择私有证书服务使用时长。
      说明
      • 您可以在PCA服务使用时长内,通过私有CA签发证书。服务到期后,私有CA将无法继续签发证书,即使支持签发的证书数量还有剩余。
      • 通过私有CA签发的私有证书的有效期最长不超过PCA服务的购买时长。例如,您购买了1个月的PCA服务,则通过私有CA签发的证书的有效期不超过30天。
  5. 单击立即购买并完成支付。

步骤二:启用私有CA

购买私有根CA后,您需要依次启用根CA和子CA。只有启用根CA后,您才能启用根CA下的子CA。

重要 私有CA启用后,不支持退款。

启用根CA

  1. 私有证书页面私有CA页签下,单击目标根CA操作列下的启用
  2. CA信息面板,配置根CA的信息,单击确认并启用
    数字证书管理服务支持使用创建CA证书创建CA证书及密钥的方式启用CA。选择不同的方式,需要配置不同的参数。以下是相关说明:
    • 启用方式选择创建CA证书
      配置项 描述
      启用方式 选择创建CA证书
      组织机构(O) 该CA关联的组织机构的名称。支持使用中文或者英文。

      示例:阿里云计算有限公司。

      组织部门(OU) 该CA关联的组织部门的名称。支持使用中文或者英文。

      示例:IT部。

      公用名(CN) 该CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。

      示例:阿里云。

      国家/地区(C) 组织机构所在国家或地区名称。支持使用中文或者英文。

      示例:中国。

      省名称(S) 组织机构所在省份名称。支持使用中文或者英文。

      示例:浙江。

      城市名称(L) 组织机构所在城市名称。支持使用中文或者英文。

      示例:杭州。

      私钥算法 该CA使用的私钥加密算法。
      根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:
      • 如果CA加密算法是RSA,则此处私钥算法的可选项包括:RSA_1024RSA_2048RSA_4096
      • 如果CA加密算法是SM(国密),则此处私钥算法的可选项包括:SM2_256SM2_384SM2_512
      • 如果CA加密算法是ECC,则此处私钥算法的可选项包括:ECC_256ECC_384ECC_512
      有效期 该CA的有效时长。可选项:5年10年15年20年
    • 启用方式选择创建CA证书及密钥
      配置项 描述
      启用方式 选择创建CA证书及密钥
      证书文件 填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。

      证书私钥 填写证书私钥内容的PEM编码。

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  3. 提示对话框,单击确定
    成功启用根CA后,根CA的状态将变更为启用。

启用子CA

  1. 私有证书页面私有CA页签下,单击目标子CA所在根CA名称处的折叠图标图标。
  2. 单击目标子CA操作列的启用
  3. CA信息面板,配置子CA的信息,单击确认并启用
    数字证书管理服务支持使用创建CA证书创建CA证书及密钥的方式启用CA。选择不同的方式,需要配置不同的参数。以下是相关说明:
    • 启用方式选择创建CA证书
      配置项 描述
      启用方式 选择创建CA证书
      组织机构(O) 该CA关联的组织机构的名称。支持使用中文或者英文。

      示例:阿里云计算有限公司。

      组织部门(OU) 该CA关联的组织部门的名称。支持使用中文或者英文。

      示例:IT部。

      公用名(CN) 该CA关联的组织机构的通用名称(或简称)。支持使用中文或者英文。

      示例:阿里云。

      国家/地区(C) 组织机构所在国家或地区名称。支持使用中文或者英文。

      示例:中国。

      省名称(S) 组织机构所在省份名称。支持使用中文或者英文。

      示例:浙江。

      城市名称(L) 组织机构所在城市名称。支持使用中文或者英文。

      示例:杭州。

      私钥算法 该CA使用的私钥加密算法。
      根据您在购买该PCA服务时选择的加密算法不同,此处支持选择私钥算法也不同。具体说明如下:
      • 如果CA加密算法是RSA,则此处私钥算法的可选项包括:RSA_1024RSA_2048RSA_4096
      • 如果CA加密算法是SM(国密),则此处私钥算法的可选项包括:SM2_256SM2_384SM2_512
      • 如果CA加密算法是ECC,则此处私钥算法的可选项包括:ECC_256ECC_384ECC_512
      有效期 该CA的有效时长。可选项:5年10年15年20年
      启用CRL 启用后,您可以通过CRL查看已吊销的CA证书信息。更多信息,请参见CRL服务
    • 启用方式选择创建CA证书及密钥
      配置项 描述
      启用方式 选择创建CA证书及密钥
      证书文件 填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书文件,将文件内容上传到文本框。

      证书私钥 填写证书私钥内容的PEM编码。

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传,并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  4. 提示对话框,单击确定
    成功启用子CA后,子CA的状态将变更为启用。

步骤三:(按需)购买私有子CA

如果需要使用多个子CA,您可以在已创建的根CA下,通过付费购买创建多个子CA。新购买的子CA默认不包含任何证书资源。

  1. 私有证书页面私有CA页签下,单击目标私有根CA操作列的创建私有CA
  2. 创建私有CA面板,完成购买配置。
    选择子CA的购买时长
    重要 子CA使用的算法需和根CA一致,不支持修改。
  3. 仔细阅读并选中证书管理服务服务协议,单击立即购买并完成支付。
    完成购买后,您可以在数字证书管理服务控制台私有证书页面,查看已创建的私有子CA。新购的私有子CA默认为未启用状态,您需要先启用,才能使用子CA签发证书。

后续步骤

完成购买及启用私有CA的操作后,您需要配置私有证书。具体操作,请参见管理私有证书