私有CA生命周期管理
创建CA
私有CA分为根CA与从属CA,您可以指定将要创建的私有CA类型。其中,根CA是自签名证书,可直接创建。从属CA属于子CA,创建前需要先创建其父CA。因此,创建私有CA时,有以下三种情况:
- 创建根CA,创建成功后,证书为“已激活”状态。根CA的密钥用途固定为数字签名、签发证书、签发CRL,即可用于签发证书、吊销证书以及签发证书吊销列表,无法进行自定义。
- 创建从属CA,并直接激活,创建成功后,从属CA为“已激活”状态。其密钥用途默认与根CA一致,若有特殊要求,您也可以自定义从属CA密钥用途。
- 创建从属CA,但不立即激活,创建成功后,从属CA为“待激活”状态。该状态下从属CA无任何功能,只有激活后方可正常使用,该状态支持立即删除。
私有CA的通用名称允许重复,推荐您为不同的CA取带有标识性的名称,以便区别,如ROOT CA G0、ROOT CA G1。
激活CA
将“待激活”状态的从属CA激活,使其可正常使用。从属CA一旦激活,将开始计费,且无法回到“待激活”状态。
禁用CA
禁用私有CA签发证书的功能,但保留其吊销证书和签发证书吊销列表的功能。只有“已激活”状态的私有CA支持“禁用”操作,禁用后,私有CA状态为“已禁用”。
通常,在旧CA即将过期时,会将其禁用,从而保证新证书将不再通过其签发,而是由新CA来签发。保留吊销证书的功能,保证新、旧证书完成替换前,旧证书仍然可正常工作。
启用CA
将处于“已禁用”状态的私有CA启用,恢复其签发证书的功能。启用“已禁用”的私有CA后,私有CA状态转为“已激活”。
删除CA
对私有CA执行删除操作。鉴于私有CA的重要性,为避免误操作,PCA服务对不同状态下的私有CA,被执行删除操作后,处理的策略不同。
- “已禁用”和“已过期”状态:仅提供计划删除,可选的延迟删除周期为7~30天,在删除时间到之前,CA处于“计划删除”状态。处于“计划删除”状态的CA,可通过“取消删除”操作,将CA恢复到“已禁用”或“已过期”状态(删除前的状态)。一旦到了删除时间,CA将被定时任务进行删除,且不可恢复。
- “待激活”和“已吊销”状态:仅提供立即删除,即一旦执行删除操作,该状态下的CA将被立即删除,且不可恢复。
- “已激活”状态:不支持删除操作,若需要删除,需要先将其禁用,然后再执行删除操作。
私有CA被永久删除后,其下所有证书将无法执行“吊销”操作,其与其子CA下所有私有证书将无法执行“导出”操作,且无法再更新证书吊销列表,请谨慎操作!
- 执行删除操作前,请排查和确认私有CA是否仍在使用,删除后是否会导致自建的PKI体系不可用。
- 执行删除操作前,若私有CA确认已不再使用,应将其下所有未过期证书都进行吊销,并在所有终端中将其从信任列表中移除(若是从属CA,则应该将其吊销,然后再删除)。
取消删除CA
将处于“计划删除”状态的私有CA,恢复为其执行删除之前状态。
执行“取消删除”操作后,PCA服务将会补收私有CA处于“计划删除”状态期间的费用,请谨慎操作!
吊销CA
吊销不再使用或者密钥材料已暴露的从属CA。吊销后的从属CA,将完全失去所有功能,且无法再恢复。若其父CA启用了证书吊销列表配置,则可在证书吊销列表中查询其吊销信息。
- 吊销CA属于高危行为,请谨慎操作!
- 校验过程中需要查询证书吊销列表,方可验证正在校验的证书是否被吊销,否则,将可能与被吊销的证书进行通信,存在安全风险。
- 私有CA被吊销后,其与其子CA签发的所有证书都将不再被信任(被发布至证书吊销列表中时),即包含私有CA的所有证书链的校验都将会失败。
CA过期处理
当私有CA过了有效期,后台定时任务会将私有CA状态置为“已过期”。