自定义配置CA

背景信息

CA服务为用户提供证书签发方案，用于满足用户无CA或用户CA不满足要求的情况。首次使用CA服务或当前CA服务中无已配置的CA时，用户可以在初始化配置界面创建CA。

用户在导入外部证书时，必须保证该证书是由可信CA签发的证书，如果不是，则存在安全风险。

操作步骤

1. 在主菜单中选择“系统 > 关于 > CA服务”。
2. 在左侧导航树中选择“PKI管理 > CA管理”。
3. 单击“新增”，配置CA所需的各项参数。

   参数说明请参见表1 CA参数说明表。

   表1 CA参数说明表

   参数			说明	取值建议
   基本信息	名称		CA的名称。	请输入1~45位字符，字符类型可以是数字、大小写字母、下划线、中划线，但不能是“null”或“all”（不区分大小写）。 缺省值：无 建议值：无
   	状态		可选择创建一个激活状态、未激活状态或待定状态的CA。 激活：该状态的CA可以签发证书。 未激活：该状态的CA不可以签发证书。 待定：当CA状态为“待定”时，证书配置方式自动勾选“创建CSR文件”。 待定状态的CA需要下载对应的CSR文件，并向其他CA申请子CA证书。将子CA证书和其他CA证书导入系统，导入后CA创建完成，变为激活状态。 说明： 在上传CA证书前，不能通过待定状态的CA申请证书。	缺省值：激活 建议值：激活
   	签名算法		可根据需求选择CA签发证书时使用的签名算法。 说明： 签名算法RSASSA-PSS比RSA更安全。目前仅TLS1.3支持RSASSA-PSS签名的证书，TLS1.2及以下版本不支持。 签名算法详细说明请参见表1。	缺省值：无 建议值：无
   	证书序列号长度		CA分配给每一个证书的唯一的数字编号的长度。	取值范围为18～40之间的整数，单位为字符。 缺省值：30 建议值：30
   	最大有效期		可配置签发的证书的最大有效期。	可配置签发的证书的最大有效期为1~50年，3~600月或90~18250天。 缺省值：40年 建议值：40年
   CA证书	证书配置方式		选择的证书配置方式不同，界面显示对应需要配置的信息。 根据实际需要选择证书配置方式。	创建根CA可选择“创建自签名证书”或“上传证书文件”。 创建子CA可选择“上传证书文件”、“创建CSR文件”、“内部CA签名”。
   	创建自签名证书		自签名证书是由签名实体发布给自身的证书，而非由权威CA签发的证书。 通过自签名方式创建CA时，需要选择证书等级为“根CA”的证书模板，并填写模板中配置的使用者的相关信息。	缺省值：勾选 建议值：勾选
   	上传证书文件	证书文件	通过上传本地证书文件创建CA。 本地证书文件应包含CA证书及对应的私钥。 如果上传的CA证书文件为根CA证书，则创建一个根CA。 如果上传的CA证书文件为子CA证书，则创建一个子CA。	上传的证书文件必须是.p12，.pfx或.jks格式。 只能上传1个证书，且文件大小小于20KB。 证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。 缺省值：无 建议值：无
   		证书口令	用户在申请证书时为证书设置的密码，包含在.p12文件中，在上传证书文件时需要输入该密码。	缺省值：无 建议值：无
   		上传证书链	上传对应的证书链，可选择多个文件。比如，当前导入的是一个三级CA证书，则上传对应的一级CA证书和二级CA证书。	上传的证书链文件必须是.cer，.crt或.pem格式。 一次最多可上传10个文件，且单次上传的文件大小小于100KB。上传的文件总大小不超过100KB。 证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。 缺省值：无 建议值：无
   	创建CSR文件		当CA状态为“待定”时，证书配置方式自动勾选“创建CSR文件”。 CSR文件用于向上一级CA申请证书。	缺省值：去勾选 建议值：去勾选
   	内部CA签名	内部CA	内部CA签名方式是指为某CA创建子CA。 通过内部CA签名方式创建子CA 时，需要选择一个CA作为父CA。	缺省值：无 建议值：无
   		证书模板	通过内部CA签名方式创建子CA 时，需要选择证书等级为“子CA”的证书模板，并填写模板中配置的使用者的相关信息。	缺省值：无 建议值：无
   	密钥产生方式		可以选择通过“软件”或“硬件密码机”来生成密钥。	缺省值：软件 建议值：软件 如果当前有已连通状态的硬件密码机，则缺省值和建议值为硬件密码机。
   CRL管理	证书吊销列表生成间隔时间		证书吊销列表生成间隔时间。	取值范围为1~60之间的整数，单位为天。 缺省值：25 建议值：25
   	证书吊销列表生成时间		可自定义证书吊销列表生成时间。	缺省值：当前系统时间 建议值：当前系统时间
   	证书吊销列表重叠时间		证书吊销列表重叠时间是指，在将旧的吊销列表视为不可用之前，用户可用来获取新的吊销列表的时间。	取值范围为1~60之间的整数，单位为分钟。 缺省值：10 建议值：10
   	包含吊销原因		选择是否包含吊销原因。	缺省值：是 建议值：是
   	CRL发布服务器		可根据需求选择CRL发布服务器。	缺省值：无 建议值：无
   	发布方式		设置CRL发布服务器的发布类型，发布类型分为手动发布和自动发布。 勾选自动发布后必须配置CRL发布服务器和发布周期。	选择“自动发布”时，缺省发布周期为60分钟。勾选自动发布后必须配置CRL发布服务器和发布周期，可配置发布周期为1~259200分钟，1~4320小时，1~180天。 缺省值：去勾选 建议值：去勾选
   	CRL分发点		指CRL的发布位置，用户可以根据这个参数来获取到证书对应的CRL。例如，http://IP地址:端口号/caname.crl。 说明： 通过CRL分发点获取到的CRL可以用来校验由CA签发的证书的有效性，CA服务不会自动将CRL发布到CRL分发点，需要用户自行维护该分发点中CRL文件的有效性。	每个CA最多可配置4个CRL分发点。 缺省值：无 建议值：无

4. 完成配置后，单击“下一步”。
5. 在关联模板列表中，选择需要关联的模板。
   

   • 配置关联模板，用于CA签发证书。关联模板只能是子CA模板或者终端实体模板。

   • 1个CA至少要关联1个模板，且最多只能关联16个模板。

   • 缺省值：无
   • 建议值：END_ENTITY_PREDEFINED_MULTI_KEY_TYPES

6. 在默认模板列表中，从已关联模板中选择一个作为默认模板。
   

   • 通过CMP协议或隐私CA协议申请证书时，如果请求报文中携带模板名称参数，则使用报文中指定的模板；如果请求报文中没有携带模板名称参数，则使用CA的默认模板。
   • 1个CA只能设置1个默认模板。
   • 缺省值：无
   • 建议值：END_ENTITY_PREDEFINED_MULTI_KEY_TYPES

7. 单击“下一步”。
   

   • 如果需要在下一步签发“响应保护身份证书”，关联模板中至少选择一个证书等级为“终端实体”的模板。
   • 如果“证书配置方式”选择“创建CSR文件”，单击“提交”，完成配置。

8. 设置“签发响应保护证书”和“CA证书置为TLS信任证书”等信息，单击“提交”，完成配置。
9. （可选）如果在步骤8中“CA证书置为TLS信任证书”选择“是”，需要选择是否立即重启服务。
   • 在弹出的提示框中单击“立即重启”，依次单击“确定”，使“CA证书置为TLS信任证书”配置生效。
   • 在弹出的提示框中单击“稍后重启”，后续可在“全局配置 > 服务管理”页面重启服务。
   

   • 重启过程中，服务不可用。请耐心等待几分钟，完成重启后再进行其他操作。
   • 在服务管理页面，可以查看对应服务状态。服务状态由“重启中”变为“运行中”，表示重启服务完成。
   • 操作完成后，可在“全局配置 > TLS配置”页面，查看当前CA对应的TLS信任证书。详细介绍请参见配置TLS章节。
   • 如果未重启服务，会导致“CA证书置为TLS信任证书”配置不生效。

后续处理

• 修改CA：

  在“PKI管理 > CA管理”页面单击该CA右侧的“修改”，可修改该CA的配置信息。

  

  • 修改CA配置信息时，仅可以修改该CA的最大有效期、证书序列号长度、证书吊销列表生成间隔时间、证书吊销列表生成时间、证书吊销列表重叠时间、包含吊销原因、CRL发布服务器、发布方式、CRL分发点、默认模板和关联模板。
  • 通过上传文件方式创建CA时，如果已上传证书链文件，在编辑该CA时不显示上传证书链配置选项。
  • 通过上传文件方式创建CA时，如果未上传证书链文件或上传证书链文件失败，在编辑该CA时显示上传证书链配置选项。
  • 当CA状态为待定时，不可修改该CA的配置信息。
• 去激活CA：

  对于已创建且状态为激活的CA，在“PKI管理 > CA管理”页面单击该CA右侧的“去激活CA”，可去激活该CA。

• 激活CA：

  对于已创建且状态为未激活的CA，在“PKI管理 > CA管理”页面单击该CA右侧的“激活CA”，可激活该CA。

• 下载CA证书：

  在“PKI管理 > CA管理”页面单击CA右侧的“下载CA证书”，根据实际需求选择并下载对应文件格式的CA证书。

  在“PKI管理 > CA管理”页面单击CA名称，单击“下载CA证书”，可将.cer格式的CA证书下载到本地。

  

  当CA状态为待定时，不可下载CA证书。

• 下载CSR：

  在“PKI管理 > CA管理”页面单击CA右侧的“更多 > 下载CSR”，下载该CA对应的CSR文件。

• 上传CA证书：
  对于已创建且状态为待定的CA，在“PKI管理 > CA管理”页面单击该CA右侧的“更多 > 上传CA证书”，可上传CA证书。

  

  • 上传的证书文件必须是.cer，.crt或.pem格式，只能上传1个证书，且文件大小小于10KB。证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。

    证书链文件为小于100KB的cer，crt或pem格式的文件，最多上传10个。上传的文件总大小不超过100KB。

  • 当CMP请求报文使用当前CA签发的证书做消息签名的时候，CA端使用当前CA以及CA证书链校验请求报文的签名证书。
  • 对于已创建且状态为待定的CA，15天内未上传证书，该CA会被清除。

相关任务

• 查看CA：

  在“PKI管理 > CA管理”页面单击某CA的名称，在“CA信息”页签中可查看该CA的详细信息，例如状态、证书序列号长度、签名算法、关联模板和默认模板等信息。

• 查看CA证书：

  在“PKI管理 > CA管理”页面单击某CA的名称，在“CA证书”页签中可查看该CA证书的详细信息，例如版本、序列号、签名算法、使用者、有效期等信息。

  

  当CA状态为待定时，不可查看该CA证书信息。

• 查看CA关联证书：

  在“PKI管理 > CA管理”页面单击某CA的名称，在“关联证书”页签中单击证书序列号，可查看该CA关联证书的详细信息，例如版本、序列号、签名算法、使用者、有效期等信息。

  

  • OldWithNew：CA密钥更新时生成的证书，包含旧密钥的公钥，证书有效期为旧CA的有效期。对于以根CA新证书为信任根的实体，如果对暂时还未替换使用根CA新证书为信任根的实体进行验证，需要获得根CA的OldWithNew证书。验证过程为使用根CA新密钥验证旧密钥，然后用旧密钥验证旧的根CA下属的终端实体。
  • NewWithOld：CA密钥更新时生成的证书，包含新密钥的公钥，证书生效日期为新CA的生效日期，失效日期为旧CA的失效日期。对于以根CA旧证书为信任根的实体，应该尽快重新申请证书。在此期间，如果对以根CA新证书为信任根的实体进行验证，需要获得根CA的NewWithOld证书。验证过程为使用根CA旧密钥验证新密钥，然后用新密钥验证新的根CA下属的终端实体。
• 下载CA关联证书：

  在“PKI管理 > CA管理”页面单击某CA的名称，在“关联证书”页签中单击“下载”，根据实际需求选择并下载对应文件格式的CA关联证书。如果勾选多本证书下载，会将所勾选的证书合并下载到一个.pem格式的证书文件中。

• 导入交叉证书：

  在“PKI管理 > CA管理”页面单击CA的名称，在“关联证书”页签中单击“导入交叉证书”，可导入其他CA的证书进行交叉认证。

  

  上传的交叉证书文件必须是.cer，.crt或.pem格式，一次最多可上传1个文件，且单次上传的文件大小小于10KB，最多可上传16本交叉证书。

• 删除交叉证书：

  在“PKI管理 > CA管理”页面单击CA的名称，在“关联证书”页签中单击“删除”，可删除该交叉证书。

• 查找CA：

  在“PKI管理 > CA管理”页面搜索框内输入CA名称，单击，找到指定CA并查看详细信息。CA服务支持按照CA名称模糊查询。

• 查找关联模板：

  在“PKI管理 > CA管理”页面创建或修改CA时，在设置关联模板的页面中，在搜索框内输入关联模板名称，单击，找到指定关联模板。CA服务支持按照关联模板名称模糊查询。

• 查找默认模板：

  在“PKI管理 > CA管理”页面创建或修改CA时，在设置默认模板的页面中，在搜索框内输入默认模板名称，单击，找到指定默认模板。CA服务支持按照默认模板名称模糊查询。