配置隐私CA协议信息

前提条件

• 非多租户部署场景中，如果隐私CA协议使用的端口未开启，请在“CA服务 > 全局配置 > 端口管理”页面开启该端口。
• 多租户部署场景中，如果隐私CA协议使用的端口未开启，需要系统管理员在“CA服务 > 全局配置 > 端口管理”页面开启该端口。

操作步骤

1. 在主菜单中选择“系统 > 关于 > CA服务”。
2. 在左侧导航树中选择“协议配置 > 隐私CA协议配置”。
3. 在“协议配置”页签中单击CA右侧的“修改”，进入编辑页面配置各项参数。

   参数说明请参见表1。

   表1 隐私CA协议参数说明表

   参数	说明	取值建议
   CA	CA的名称。	CA名称不可修改。 缺省值：无 建议值：无
   端口	隐私CA协议对应的端口号。	缺省值：26805 建议值：26805
   使用隐私CA协议请求的有效期	在申请证书时，选择是否使用隐私CA协议请求报文中的有效期。 说明： 如果选择“是”，则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期、相关联的CA中设置的有效期和隐私CA请求中设置的有效期四者的交集。 如果选择“否”，则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期和相关联的CA中设置的有效期三者的交集。	缺省值：是 建议值：是
   挑战值过期时间	用户通过隐私CA协议向CA服务发起挑战值请求，如果CA服务没有在设定的时间内收到证书申请的请求，则该挑战值过期，校验不通过，CA服务无法签发AK证书。	缺省值：60 建议值：60
   隐私CA协议请求URI	用户通过隐私CA协议向CA服务申请证书，隐私CA协议请求URI有以下两种格式： 请求URI中包含签发证书的CA名称和使用的证书模板名称，例如，https://{IP}:26805/pca/v1/caname?certprofile=profilename，IP为通过隐私CA协议对接CA服务的IP地址，v1为API版本，caname为签发证书的CA名称，profilename为使用的证书模板名称。 请求URI中只包含签发证书的CA名称，不包含模板名称参数，申请证书时使用该CA的默认模板。例如，https://{IP}:26805/pca/v1/caname，IP为通过隐私CA协议对接CA服务的IP地址，v1为API版本，caname为签发证书的CA名称。	隐私CA请求URI不可修改。 缺省值：无 建议值：无

4. 完成编辑后，单击“提交”。

后续处理

使用隐私CA协议请求URI申请证书：

在“协议配置 > 隐私CA协议配置”页面，选择“协议配置”页签，单击某CA名称左侧的，复制该CA对应的隐私CA请求协议URI进行使用。

例如：https://IP地址:26805/pca/v1/caname?certprofile=profilename是指通过TLS单向认证协议向CA服务发送一个申请证书的隐私CA请求。

• certprofile参数用来指定在签发证书时使用的终端实体模板。该参数为非必传参数，如果未给定该参数时，申请证书时使用CA的默认模板。
• 1个CA可能关联多个模板，所以隐私CA请求URI可能存在多个值，请根据实际情况选择。
• 证书申请请求中的使用者信息不能和关联CA的使用者信息相同，否则会导致申请证书失败。

相关任务

• 查看隐私CA协议配置信息：

  在“协议配置 > 隐私CA协议配置”页面，选择“协议配置”页签，单击CA名称左侧的，查看隐私CA协议详细信息。

• 查找隐私CA协议配置信息：

  在“协议配置 > 隐私CA协议配置”页面，选择“协议配置”页签，在搜索框内输入CA名称，单击，找到指定CA并查看该CA的详细协议配置信息。CA服务支持按照CA名称模糊查询。