创建私有CA

背景信息

• 私有CA分为根CA和从属CA（即中间CA或子CA），从属CA隶属于根CA，根CA下可以包含多个从属CA。
• 首次创建私有CA时，须先创建根CA。
• 每个用户可以创建100个CA，已计划删除的私有CA也将计入CA限制值内，直到计划删除CA执行删除为止。

前提条件

创建私有CA的账号拥有“PCA FullAccess”权限。

操作步骤

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 云证书管理服务”，进入云证书管理服务界面。
3. 在私有CA列表右上角，单击“创建CA”，进入创建CA界面。
4. 配置私有CA信息。

   您需要配置“基本信息”、“证书唯一标识名称（DN）”和“证书吊销配置”信息。

   1. 配置基本信息，如#ccm_01_0016/zh-cn_topic_0000001124217631_fig19641142713913所示，参数说明如表1所示。
      
      

      表1 基本信息参数说明

      参数名称	参数说明	取值样例
      CA类型	选择待创建的私有证书颁发机构的类型。 CA类型： 根CA：如果要建立新的CA层次结构，则选择此项。 说明： 首次创建私有CA，则须创建根CA。 从属CA：用于在现有的CA层次结构中增加新的层次。	根CA
      密钥算法	选择密钥算法和密钥的位大小。 RSA2048 RSA4096 EC256 EC384	RSA2048
      签名哈希算法	“CA类型”选择“根CA”时，显示该参数。 可选择签名哈希算法： SHA256 SHA384 SHA512	SHA256
      有效期	“CA类型”选择“根CA”时，显示该参数。 选择私有证书颁发机构有效期，可选择最长有效期为30年。	3年

   2. 配置证书唯一标识名称（Distinguished Name，DN）信息，如图1所示，参数说明如表2所示。
      图1 DN信息
      

      表2 DN信息参数说明

      参数名称	参数说明	取值样例
      CA名称（CN）	自定义私有CA名称。	-
      国家/地区	申请单位所属国家或地区，只能是两个字母的国家或地区代码。	AE
      省/市	申请单位所在省名或市名。	Abu Dhabi
      城市	申请单位所在城市名。	Abu Dhabi
      公司名称（O）	申请单位法定名称。	-
      部门名称（OU）	申请单位的所在部门。	Cloud Dept.

   3. （可选）配置证书吊销信息。

      如果需要为私有CA吊销的证书发布证书吊销列表（Certificate Revocation List，CRL），则可配置证书吊销信息。

      如果无需配置，请直接跳过该步骤。

      配置证书吊销信息，如图2所示，参数说明如表3所示。

      图2 证书吊销
      

      表3 证书吊销参数说明

      参数名称	参数说明
      OBS授权	确认是否授权CCM服务访问您的OBS桶并上传CRL文件。 如果确认授权，则单击“立即授权”，并根据提示完成授权。 授权成功后，取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。 如果已授权，则无需再次授权。
      启用CRL发布	确认是否启用CRL发布。
      OBS桶	选择已有的OBS桶，或单击“创建新的OBS桶”来创建新的OBS桶。
      CRL更新周期	CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。 可设置为7~30的整数更新天数，如果未设置则默认为7天。

5. 单击“下一步”，进入确认信息页面。
6. 确认信息以及价格无误后，单击“确认并创建”，完成创建私有CA操作。

   如果创建的是根CA，则创建后便已激活；如果创建的为从属CA，则需要进行激活操作。

   私有从属CA创建后，如需立即安装CA证书并激活CA，则单击“立即激活”；如需后续再激活，单击“稍后再激活”。

后续处理

私有根CA创建成功后，即可用于签发私有证书，申请私有证书详细操作请参见申请私有证书。

私有从属CA创建成功后，需要安装证书并激活CA，具体操作请参见激活私有CA。