Private CA(Private Certificate Authority,私有证书颁发机构)是阿里云提供的一项数字证书全生命周期管理服务。它允许企业在不具备自建PKI(公钥基础设施)体系的情况下,快速构建独享的、符合企业内部安全规范的证书认证体系,实现内部应用、IoT设备、移动端的身份认证与数据加密。
核心概念
PCA采用根CA-子CA-终端证书三级架构:
根CA(Root CA):证书信任链的根,仅用于签发子CA证书,建议严格控制使用与权限。
子CA(Sub CA):用于签发终端证书,建议按组织/业务线划分多个子CA便于隔离管理。
终端证书:由子CA签发,部署在服务器、客户端、设备等实体上。
应用场景
私有CA适用于企业内部或IoT环境的身份认证与安全通信,无需满足外部监管要求。
典型场景:
IoT设备认证:车联网中车-车、车-路通信认证(如:单辆车需要5张以上证书)。
企业内部系统:OA、HR等内部系统间的mTLS双向认证。
微服务架构:服务间的身份验证与加密通信。
核心优势:支持自动签发、吊销、续签,适配大规模设备的证书管理需求。
使用流程
通过以下步骤,可搭建企业内部的私有证书平台,实现自主管理企业内部应用的证书。在一个根CA下,可根据企业的组织架构购买多个子CA,实现不同部门私有证书的分类管理。
购买私有CA服务
首次创建私有CA时,必须先购买私有根CA。详情请参见购买私有根CA。如需退款,请参见PCA服务退款。私有CA退款成功后,可以将其手动从CA列表中删除。
说明每个根 CA 实例包含:1 个根 CA、1 个子 CA 及 10 个赠送的私有证书额度。赠送额度的使用规则如下:
额度使用期限:须在购买之日起 30 天内使用额度签发证书;逾期未使用的额度将失效并被清除。
证书有效期:使用赠送额度签发的证书,自签发之日起有效期为 30 天,且不随根 CA 续费而延长。另行购买的私有证书,其有效期可自定义。
启用根CA和子CA
购买完成后,需要依次启用根CA和子CA。详情请参见启用私有CA。
说明如需修改启用的私有CA的信息时,可以选择重置目标根CA或子CA,并重新启用该CA。详情请参见重置私有CA。
分配私有证书额度
为子CA分配证书签发额度,子CA使用已分配的额度申请私有证书。详情请参见分配私有证书额度。
说明根CA默认赠送10张私有证书额度,可根据需求另行购买。如需购买,请参见购买私有证书额度。
申请签发私有证书
通过已启用的子CA申请签发用户证书。详情请参见申请签发私有证书。
说明已签发的私有证书将消耗相应的证书额度,已消耗额度不支持退还。
下载安装私有证书
下载已签发的私有证书,并分发给相应主体安装使用。详情请参见下载私有证书。
计费说明
常见问题
赠送的证书额度有什么限制?
赠送额度须在购买根CA之日起30天内使用,逾期失效。
使用赠送额度签发的证书有效期为30天,不随根CA续费延长。
另行购买的私有证书额度,其有效期可自定义。
如何修改已启用的CA信息?
如需修改已启用的CA信息,可通过重置CA功能实现。重置后需重新启用CA。详情请参见重置私有CA。
如何删除不再使用的CA?
CA退款成功后,可在CA列表中手动删除相应的CA实例。如需退款,请参见PCA服务退款。