激活私有CA

前提条件

• 已创建私有子CA，详细操作请参见创建私有CA。
• 私有子CA处于“待激活”状态。

使用内部私有CA激活子CA

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全与合规 > 云证书管理服务”，并在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。
3. 在待激活的私有CA所在行的“操作”列，单击“激活”，系统从右面弹出激活CA详细页面，如图1所示，请填写激活CA相关信息。
   图1 内部私有CA
   
   1. 选择“CA证书的签发方式”。

      此处请勾选“内部私有CA”。

   2. 配置私有CA相关参数。

      表1 内部私有CA激活配置参数说明

      参数名称	参数说明
      CA名称	选择根CA或子CA的名称。 选中后，系统将自动显示该CA的类型和编号。
      签名哈希算法	选择签名哈希算法： SHA256 SHA384 SHA512
      有效期	选择私有CA有效期，可选择的最长有效期为20年。
      路径长度	该子CA的路径长度，即当前CA可以签发下级子CA的层次数量，用于控制证书链深度。 说明： 证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。

4. 确认填写的信息无误后，单击“确定”。

使用外部私有CA激活子CA

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全与合规 > 云证书管理服务”，并在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。
3. 在待激活的私有CA所在行的“操作”列，单击“激活”，系统从右面弹出激活CA详细页面，请填写激活CA相关信息。
   
   
   1. 选择“CA证书的签发方式”：此处请勾选“外部私有CA”。
   2. 导出CSR。

      在“CA的CSR”中，单击“导出CSR为文件”。

      用pem编码的CSR导出到文件中，并让一个父CA对其进行签名。

   3. 外部CA签发证书。

      使用您的私有CA签发待激活子CA证书。

   4. 导入证书。

      在“导入外部CA签发的证书”中，将导入证书和证书链。

      表2 导入证书参数说明

      参数	说明
      证书	导入证书体，以文本方式打开待上传证书里的PEM格式的文件（后缀名为“.pem”），将证书体复制到此处。
      证书链	导入证书链，以文本方式打开待上传证书里的PEM格式的文件（后缀名为“.pem”），将证书链复制到此处。

4. 确认填写的信息无误后，单击“确定”。

   当私有CA的状态更新为“已激活”，则表示激活私有CA成功。

后续处理

私有CA激活后，即可用于签发私有证书，申请私有证书详细操作请参见申请私有证书。