创建私有CA

背景信息

• 私有CA分为根CA和子CA（即中间CA或子CA），子CA隶属于根CA，根CA下可以包含多个子CA。
• 首次创建私有CA时，须先创建根CA。
• 每个用户可以创建100个CA，已计划删除的私有CA也将计入CA限制值内，直到计划删除CA执行删除为止。

前提条件

创建私有CA的账号拥有“PCA FullAccess”权限。

操作步骤

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 云证书管理服务”，进入云证书管理服务界面。
3. 在私有CA列表右上角，单击“创建CA”，进入创建CA界面。
4. 配置私有CA信息。

   您需要配置“基本信息”、“证书唯一标识名称（DN）”信息。

   1. 配置基本信息，参数说明如表1所示。
      图1 基本信息
      

      表1 基本信息参数说明

      参数名称	参数说明	取值样例
      CA类型	选择待创建的私有证书颁发机构的类型。 CA类型： 根CA：如果要建立新的CA层次结构，则选择此项。 说明： 首次创建私有CA，则须创建根CA。 子CA：用于在现有的CA层次结构中增加新的层次。	根CA
      密钥算法	选择密钥算法和密钥的位大小。 RSA2048 RSA3072 RSA4096 EC256 EC384	RSA2048
      签名哈希算法	“CA类型”选择“根CA”时，显示该参数。 可选择签名哈希算法： SHA256 SHA384 SHA512 SHA256_PSS SHA384_PSS SHA512_PSS	SHA256
      有效期	“CA类型”选择“根CA”时，显示该参数。 选择私有证书颁发机构有效期，可选择最长有效期为30年。	3年

   2. 配置证书唯一标识名称（Distinguished Name，DN）信息，参数说明如表2所示。

      表2 DN信息参数说明

      参数名称	参数说明	取值样例
      CA名称（CN）	自定义私有CA名称。	-
      国家/地区	申请单位所属国家或地区，只能是两个字母的国家或地区代码。	AE
      省/市	申请单位所在省名或市名。	Abu Dhabi
      城市	申请单位所在城市名。	Abu Dhabi
      公司名称（O）	申请单位法定名称。	-
      部门名称（OU）	申请单位的所在部门。	Cloud Dept

5. 单击“下一步”，进入确认信息页面。
6. 确认信息无误后，单击“确认并创建”，完成创建私有CA操作。

   如果创建的是根CA，则创建后便已激活；如果创建的为子CA，则需要进行激活操作。

   私有子CA创建后，如需立即安装CA证书并激活CA，则单击“立即激活”；如需后续再激活，单击“稍后再激活”。

后续处理

私有根CA创建成功后，即可用于签发私有证书，申请私有证书详细操作请参见申请私有证书。

私有子CA创建成功后，需要安装证书并激活CA，具体操作请参见激活私有CA。