激活私有CA
当您购买私有CA实例后,需要在购买后进行激活。激活后,才能使私有CA正式生效,用于签发私有证书。
本章节指导用户如何激活CA,您可以选择激活当前CA实例为根CA或子CA,首次激活CA实例需要选择激活为根CA,请根据您的业务实际需求进行选择。
前提条件
- 已购买私有CA实例,详细操作请参见购买私有CA。
- 私有CA处于“待激活”状态。
激活为根CA
- 登录管理控制台。
- 单击页面左上方的
,选择,并在左侧导航栏选择进入私有CA管理界面。 - 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,如图 配置CA信息所示,请填写激活CA相关信息。
- 激活为根CA需要选择“CA类型”为“根CA”
根CA:用于建立新的CA层次结构。
- 配置以下参数。
表1 根CA参数配置 参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
- RSA2048
- RSA3072
- RSA4096
- EC256
- EC384
签名哈希算法
选择签名哈希算法:
- SHA256
- SHA384
- SHA512
- SHA256_PSS
- SHA384_PSS
- SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为30年。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
- 激活为根CA需要选择“CA类型”为“根CA”
- 确认填写的信息无误后,单击“下一步”。
- 在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成根CA激活。
使用已有CA激活子CA
- 登录管理控制台。
- 单击页面左上方的,选择,并在左侧导航栏选择进入私有CA管理界面。
- 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。
- 激活为子CA需要选择“CA类型”为“子CA”
子CA:用于在现有的CA层次结构中增加新的层次。
- 激活为子CA需要先选择上级CA,如图 选择上级CA。
- 选择“已有CA”,在下拉列表选择已创建的CA,并配置以下参数
参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
- RSA2048
- RSA3072
- RSA4096
- EC256
- EC384
密钥用法(可选)
选择密钥用法:
- digitalSignature
- nonRepudiation
- keyEncipherment
- dataEncipherment
- keyAgreement
- keyCertSign
- cRLSign
- encipherOnly
- decipherOnly
签名哈希算法
选择签名哈希算法:
- SHA256
- SHA384
- SHA512
- SHA256_PSS
- SHA384_PSS
- SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为20年。
路径长度
该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。
说明:证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
- 选择“已有CA”,在下拉列表选择已创建的CA,并配置以下参数
- 激活为子CA需要选择“CA类型”为“子CA”
- 确认填写的信息无误后,单击“下一步”。
- 在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成子CA激活。
使用第三方CA激活子CA
- 登录管理控制台。
- 单击页面左上方的,选择,并在左侧导航栏选择进入私有CA管理界面。
- 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。
- 激活为子CA需要选择“CA类型”为“子CA”
子CA:用于在现有的CA层次结构中增加新的层次。
- 激活为子CA需要先选择上级CA,如图 选择上级CA。
- 选择“第三方CA”,并配置以下参数
参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
- RSA2048
- RSA3072
- RSA4096
- EC256
- EC384
密钥用法(可选)
选择密钥用法:
- digitalSignature
- nonRepudiation
- keyEncipherment
- dataEncipherment
- keyAgreement
- keyCertSign
- cRLSign
- encipherOnly
- decipherOnly
签名哈希算法
选择签名哈希算法:
- SHA256
- SHA384
- SHA512
- SHA256_PSS
- SHA384_PSS
- SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为20年。
路径长度
该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。
说明:证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
- 选择“第三方CA”,并配置以下参数
- 激活为子CA需要选择“CA类型”为“子CA”
- 确认填写的信息无误后,单击“保存,下一步”。
- 在信息确认页面对您已填写的参数进行二次确认,并填写相关信息,如图 第三方CA。
- 确认信息无误后,单击“确认并激活”。完成子CA激活。
后续处理
私有CA激活后,即可用于签发私有证书,申请私有证书详细操作请参见申请私有证书。
