更新时间:2024-06-25 GMT+08:00

激活私有CA

当您购买私有CA实例后,需要在购买后进行激活。激活后,才能使私有CA正式生效,用于签发私有证书。

本章节指导用户如何激活CA,您可以选择激活当前CA实例为根CA或子CA,首次激活CA实例需要选择激活为根CA,请根据您的业务实际需求进行选择。

前提条件

  • 已购买私有CA实例,详细操作请参见购买私有CA
  • 私有CA处于“待激活”状态。

激活为根CA

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,并在左侧导航栏选择私有证书管理 > 私有CA进入私有CA管理界面。
  3. 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,如图 配置CA信息所示,请填写激活CA相关信息。

    图1 配置CA信息
    1. 激活为根CA需要选择“CA类型”“根CA”

      根CA:用于建立新的CA层次结构。

    2. 配置以下参数。
      表1 根CA参数配置

      参数名称

      参数说明

      基本信息

      密钥算法

      选择密钥算法:

      • RSA2048
      • RSA3072
      • RSA4096
      • EC256
      • EC384

      签名哈希算法

      选择签名哈希算法:

      • SHA256
      • SHA384
      • SHA512
      • SHA256_PSS
      • SHA384_PSS
      • SHA512_PSS

      有效期

      选择私有CA有效期,可选择的最长有效期为30年。

      证书唯一标识名称(DN)

      CA名称(CN)

      自定义私有CA名称。

      -

      国家/地区

      申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。

      CN

      省/市

      申请单位所在省名或市名,可以是中文或英文。

      ShenZhen

      城市

      申请单位所在城市名,可以是中文或英文。

      GuangZhou

      公司名称(O)

      申请单位法定名称,可以是中文或英文。

      -

      部门名称(OU)

      申请单位的所在部门,可以是中文或英文。

      Cloud Dept.

      证书吊销配置(可选)

      OBS授权

      确认是否授权PCA服务访问您的OBS桶并上传CRL文件。

      如果确认授权,则单击“立即授权”,并根据提示完成授权。

      授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。

      如果已授权,则无需再次授权。

      启用CRL发布

      确认是否启用CRL发布。

      OBS桶

      选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。

      CRL更新周期

      CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。

      可设置为7~30的整数更新天数,如果未设置则默认为7天。

  4. 确认填写的信息无误后,单击“下一步”
  5. 在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成根CA激活。

使用已有CA激活子CA

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,并在左侧导航栏选择私有证书管理 > 私有CA进入私有CA管理界面。
  3. 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。

    1. 激活为子CA需要选择“CA类型”“子CA”

      子CA:用于在现有的CA层次结构中增加新的层次

    2. 激活为子CA需要先选择上级CA,如图 选择上级CA
      图2 选择上级CA
      • 选择“已有CA”,在下拉列表选择已创建的CA,并配置以下参数

        参数名称

        参数说明

        基本信息

        密钥算法

        选择密钥算法:

        • RSA2048
        • RSA3072
        • RSA4096
        • EC256
        • EC384

        密钥用法(可选)

        选择密钥用法:

        • digitalSignature
        • nonRepudiation
        • keyEncipherment
        • dataEncipherment
        • keyAgreement
        • keyCertSign
        • cRLSign
        • encipherOnly
        • decipherOnly

        签名哈希算法

        选择签名哈希算法:

        • SHA256
        • SHA384
        • SHA512
        • SHA256_PSS
        • SHA384_PSS
        • SHA512_PSS

        有效期

        选择私有CA有效期,可选择的最长有效期为20年。

        路径长度

        该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。

        说明:

        证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。

        证书唯一标识名称(DN)

        CA名称(CN)

        自定义私有CA名称。

        -

        国家/地区

        申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。

        CN

        省/市

        申请单位所在省名或市名,可以是中文或英文。

        ShenZhen

        城市

        申请单位所在城市名,可以是中文或英文。

        GuangZhou

        公司名称(O)

        申请单位法定名称,可以是中文或英文。

        -

        部门名称(OU)

        申请单位的所在部门,可以是中文或英文。

        Cloud Dept.

        证书吊销配置(可选)

        OBS授权

        确认是否授权PCA服务访问您的OBS桶并上传CRL文件。

        如果确认授权,则单击“立即授权”,并根据提示完成授权。

        授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。

        如果已授权,则无需再次授权。

        启用CRL发布

        确认是否启用CRL发布。

        OBS桶

        选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。

        CRL更新周期

        CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。

        可设置为7~30的整数更新天数,如果未设置则默认为7天。

  4. 确认填写的信息无误后,单击“下一步”
  5. 在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成子CA激活。

使用第三方CA激活子CA

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,并在左侧导航栏选择私有证书管理 > 私有CA进入私有CA管理界面。
  3. 在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。

    1. 激活为子CA需要选择“CA类型”“子CA”

      子CA:用于在现有的CA层次结构中增加新的层次

    2. 激活为子CA需要先选择上级CA,如图 选择上级CA
      图3 选择上级CA
      • 选择“第三方CA”,并配置以下参数

        参数名称

        参数说明

        基本信息

        密钥算法

        选择密钥算法:

        • RSA2048
        • RSA3072
        • RSA4096
        • EC256
        • EC384

        密钥用法(可选)

        选择密钥用法:

        • digitalSignature
        • nonRepudiation
        • keyEncipherment
        • dataEncipherment
        • keyAgreement
        • keyCertSign
        • cRLSign
        • encipherOnly
        • decipherOnly

        签名哈希算法

        选择签名哈希算法:

        • SHA256
        • SHA384
        • SHA512
        • SHA256_PSS
        • SHA384_PSS
        • SHA512_PSS

        有效期

        选择私有CA有效期,可选择的最长有效期为20年。

        路径长度

        该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。

        说明:

        证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。

        证书唯一标识名称(DN)

        CA名称(CN)

        自定义私有CA名称。

        -

        国家/地区

        申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。

        CN

        省/市

        申请单位所在省名或市名,可以是中文或英文。

        ShenZhen

        城市

        申请单位所在城市名,可以是中文或英文。

        GuangZhou

        公司名称(O)

        申请单位法定名称,可以是中文或英文。

        -

        部门名称(OU)

        申请单位的所在部门,可以是中文或英文。

        Cloud Dept.

        证书吊销配置(可选)

        OBS授权

        确认是否授权PCA服务访问您的OBS桶并上传CRL文件。

        如果确认授权,则单击“立即授权”,并根据提示完成授权。

        授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。

        如果已授权,则无需再次授权。

        启用CRL发布

        确认是否启用CRL发布。

        OBS桶

        选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。

        CRL更新周期

        CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。

        可设置为7~30的整数更新天数,如果未设置则默认为7天。

  4. 确认填写的信息无误后,单击“保存,下一步”
  5. 在信息确认页面对您已填写的参数进行二次确认,并填写相关信息,如图 第三方CA

    图4 第三方CA
    1. 导出CSR。

      “CA的CSR”中,单击“导出CSR为文件”

      用pem编码的CSR导出到文件中,并让一个父CA对其进行签名。

    2. 外部CA签发证书。

      使用您的私有CA签发待激活子CA证书。

    3. 导入证书。

      “导入外部CA签发的证书”中,将导入证书和证书链。

      表2 导入证书参数说明

      参数

      说明

      证书

      导入证书体,以文本方式打开待上传证书里的PEM格式的文件(后缀名为“.pem”),将证书体复制到此处。

      证书链

      导入证书链,以文本方式打开待上传证书里的PEM格式的文件(后缀名为“.pem”),将证书链复制到此处。

  6. 确认信息无误后,单击“确认并激活”。完成子CA激活。

后续处理

私有CA激活后,即可用于签发私有证书,申请私有证书详细操作请参见申请私有证书