- 最新动态
- 功能总览
-
服务公告
- 【2025年01月23日】关于春节期间暂停OV、EV类型SSL证书审核与签发的通知
- 【2024年12月24日】关于CA厂商在圣诞和元旦节期间暂停证书签发的公告
- 【2024年10月28日】关于DigiCert品牌根证书的切换公告
- 【2024年7月29日】关于DigiCert和GeoTrust SSL证书售价调整通知
- 【2023年10月8日】关于测试证书有效期调整通知
- 【2023年4月17日】关于GeoTrust DV证书名称变更的通知
- 【2023年2月8日】DigiCert根证书升级公告
- 【2022年12月16日】DigiCert和GeoTrust品牌在圣诞节调休期间暂停OV、EV证书审核的通知
- 【2022年09月13日】关于在APP中预埋SSL证书链的提醒
- 【2022年07月25日】停用SSL证书OU字段通知
- 【2022年03月23日】SSL证书管理入口变更通知
- 【2021年11月01日】域名所有权验证策略(文件验证方式)变更通知
- 【2020年8月20日】SSL证书最长有效期变更及影响通知
- 【2020年8月14日】Digicert系统突发异常导致EE订单签发延迟的通知
- 【2020年7月27日】CA认证机构即将停止签发为期2年的SSL证书通知
- 【2020年7月27日】关于DV证书被厂商吊销说明
- 【2020年7月19日】DigiCert系统维护通知
- 【2020年5月31日】GlobalSign系统维护通知
- 【2020年5月3日】DigiCert系统定期维护通知
- 【2020年4月26日】Symantec证书品牌标识变更通知
- 快速入门
- 产品介绍
- 计费说明
- SSL证书管理(SCM)用户指南
- 私有证书管理(PCA)用户指南
- 最佳实践
- API参考
- SDK参考
- 常见问题
- 更多文档
- 视频帮助
- 通用参考
链接复制成功!
申请私有证书
通过云证书管理控制台创建并激活私有CA后,您就可以通过私有CA申请私有证书,用于组织内部应用的身份认证和数据加解密。
本章节介绍如何申请私有证书。每个用户可以申请100,000个证书。
操作步骤
- 登录管理控制台。
- 单击页面左上方的
,选择“安全与合规 > 云证书管理服务”,并在左侧导航栏选择“私有证书管理 > 私有证书”进入私有证书管理界面。
- 在私有证书列表的右上角,单击“申请证书”,进入申请证书界面,请填写申请证书的相关信息。
图1 申请证书-系统生成文件图2 申请证书-自己生成文件
- 选择证书请求文件生成方式。
表1 证书请求文件 参数名称
参数说明
系统生成CSR
系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。
自己生成CSR
使用已有的CSR。需执行以下操作:
- 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。
- 单击“解析”。
说明:
- 证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取证书,需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。
- 建议选择“系统生成CSR”,避免出现内容不正确而导致的审核失败。
- 手动生成CSR文件的同时会生成私钥文件,请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应,一旦丢失了私钥您的数字证书也将不可使用。华为云系统不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。
- 证书服务系统对CSR文件的密钥长度有严格要求,密钥长度必须是2,048位,密钥类型必须为RSA。
- 配置证书主题信息。
仅当“证书请求文件”选择“系统生成文件”时,需要配置该参数。
“证书名称(CN)”:您可以自定义申请的私有证书的名称。
- 单击“高级配置”右侧的
,进行高级配置。
仅当“证书请求文件”选择“系统生成文件”时,需要配置该参数。
表2 高级配置 参数名称
参数说明
示例
密钥算法
选择待申请私有证书的密钥算法和密钥的位大小。
可选择“RSA2048”、“RSA4096”、“EC256”、“EC384”。
RSA2048
签名哈希算法
选择待申请私有证书的签名哈希算法:
可选择“SHA256”、“SHA384”、“SHA512”。
SHA256
密钥用法
选择待申请证书的密钥用法,支持选择(可多选):
- digitalSignature(数字签名)
- nonRepudiation(防抵赖)
- keyEncipherment(密钥加密)
- dataEncipherment(数据加密)
- keyAgreement(密钥协议)
- keyCertSign(证书签发)
- cRLSign(黑名单签名)
- encipherOnly(仅加密)
- decipherOnly(仅解密)
digitalSignature
增强型密钥用法
选择待申请证书的增强型密钥用法,支持选择(可多选):
- 服务器身份验证
- 客户端身份验证
- 代码签名
- 安全电子邮件
- 时间戳
服务器身份验证
自定义扩展字段
填写待申请证书的自定义信息。
-
(可选)配置证书AltName信息
如果该私有证书需要应用到多个主体,可以通过证书AltName添加其他主体的信息。
支持配置“IP address”、“DNS”、“Email”和“URI”四种类型的AltName信息。配置不同的类型AltName信息时,需要填写对应类型的值:
- IP address:填写IP地址
- DNS:填写域名
- Email:填写邮箱
- URI:填写网络地址
最多可配置5条AltName信息。
-
- 选择签发CA。
表3 签发CA 参数名称
参数说明
CA名称(CN)
选择已创建的私有CA的名称。
类型
选择“CA名称(CN)”后,系统将自动显示该CA的类型。
CA编号
选择“CA名称(CN)”后,系统将自动显示该CA的编号。
有效期
设置私有证书的有效期。
说明:
- 您可以自定义私有证书有效期,该有效期不得超过当前已激活私有CA的有效期。
- 私有CA有效期最长为30年。
- 选择证书请求文件生成方式。
- (可选)设置“标签”:为当前购买的证书添加新标签,关于标签设置详情,请参见创建标签。
- 确认信息以及价格无误后,单击“确定”。
申请成功后,系统将返回到私有证书页面,在页面右上角弹出“申请证书xxx成功!”,则说明私有证书申请成功。
后续处理
私有证书签发后,就可以下载到本地,并分发给证书主体进行安装使用,详细操作请参见下载私有证书。