数字证书管理服务：管理私有证书

首次配置流程

前提条件

已购买并启用私有CA。相关操作，请参见购买及启用私有CA。

购买私有证书

如果私有根CA包含的证书资源数量不能满足您的需求，您可以在私有根CA下购买证书，增加根CA下所有子CA能签发的证书数量。

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有CA页签，定位到目标根CA，在操作列，单击购买证书。

4. 在购买证书面板，输入您需要购买的证书数量，单击购买并完成支付。

   说明

   对于单个根CA，如果您累计购买的证书超过一定数量，数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值，请联系商务经理进行咨询。

分配私有证书

根CA无法签发证书，只有子CA可以签发私有证书。在申请私有证书前，您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书：

• 根CA和子CA为启用状态。

• 根CA下的证书剩余数量不为0。

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有CA页签，定位到目标根CA，在证书剩余数量/总数量列，单击分配证书。

4. 在分配证书面板，选择需要分配证书的子CA，并设置子CA的证书剩余数量，单击确定。

申请私有证书

只有在子CA的证书剩余数量不为0时，您才可以在子CA下申请私有证书。

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有CA页签下，定位到目标子CA，在操作列，单击申请证书。

4. 在申请证书面板，完成证书信息配置，单击确认申请。

   提交证书申请后，私有CA证书会立即签发。私有证书签发后，您可以单击子CA操作列下的证书列表，在证书列表页面查看已签发的证书信息。

配置项	描述
证书类型	服务端证书：用于安装到应用服务器。 客户端证书：用于安装到访问应用的客户端。
公用名 (CN)	私有证书主体的通用名称。
有效期	私有证书的有效期。 私有证书有效期时长与您购买的子CA服务时长有关，详情如下： 购买的服务时长<1年，私有证书有效期不能超过您购买的PCA服务的时长。例如，您购买了1个月的PCA服务，则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期，建议您通过续费，延长PCA的服务的时长。续费操作，请参见续费说明。 购买的服务时长≥1年，私有证书支持的有效期范围为1~100年。
扩展SAN	私有证书的SAN扩展属性。 如果该证书需要应用到多个主体，您可以通过SAN扩展添加其他主体的信息。 服务端证书支持填写服务域名或服务器IP地址，客户端证书支持填写用户邮箱地址或URI。 最多支持添加10个SAN扩展属性。 说明 SAN（Subject Alternative Name）是SSL标准X509中定义的一个扩展。使用了SAN字段的SSL证书，可以扩展此证书支持的域名，使得一个证书可以支持多个不同域名的解析。 URI（Uniform Resource Identifier）是统一资源标识符，用来标识该证书归属的阿里云资源，例如，可以用来标识该私有证书部署的云服务器ECS。
更多设置	如果您需要在证书中添加证书名称、公司和部门信息，您可以单击更多设置进行配置。
CRL状态	表示创建子CA时是否开启了CRL（Certificate Revocation List）。关于CRL的更多信息，请参见CRL服务。

下载私有证书

通过子CA签发私有证书后，您可以下载私有证书，然后分发给对应的证书主体进行安装使用。

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有CA页签下，定位到目标子CA，在操作列，单击证书列表。

4. 在证书列表页面，定位到目标私有证书，在操作列，单击下载。

5. 在证书下载对话框，选择需要下载的证书格式，单击确认并下载。

安装私有证书

下载私有证书后，您需要将服务端证书安装到应用服务器上，客户端证书安装至客户端浏览器。服务端证书安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作，请参见SSL证书安装指南。

吊销私有证书

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有CA或页签下，定位到目标子CA，在操作列，单击证书列表。

4. 在证书列表页面，定位到目标私有证书，在操作列，单击吊销。

5. 在确认对话框，单击吊销。

   确认吊销后，该私有证书会立即被吊销。证书状态将变更为吊销，这时您可以从证书列表中删除该私有证书。