申请私有证书
通过云证书管理控制台创建并激活私有CA后,您就可以通过私有CA申请私有证书,用于组织内部应用的身份认证和数据加解密。
本章节介绍如何申请私有证书。每个用户可以申请100,000个证书。
操作步骤
- 登录管理控制台。
- 单击页面左上方的,选择 ,并在左侧导航栏选择 进入私有证书管理界面。
- 在私有证书列表的右上角,单击“申请证书”,进入申请证书界面,请填写申请证书的相关信息。
图1 申请证书-系统生成文件
图2 申请证书-自己生成文件
- 选择证书请求文件生成方式。
表1 证书请求文件 参数名称
参数说明
系统生成CSR
系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。
自己生成CSR
使用已有的CSR。需执行以下操作:
- 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。
- 单击“解析”。
说明:- 证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取证书,需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。
- 建议选择“系统生成CSR”,避免出现内容不正确而导致的审核失败。
- 手动生成CSR文件的同时会生成私钥文件,请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应,一旦丢失了私钥您的数字证书也将不可使用。华为云系统不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。
- 证书服务系统对CSR文件的密钥长度有严格要求,密钥长度必须是2,048位,密钥类型必须为RSA。
- 配置证书主题信息。
仅当“证书请求文件”选择“系统生成文件”时,需要配置该参数。
“证书名称(CN)”:您可以自定义申请的私有证书的名称。
- 单击“高级配置”右侧的,进行高级配置。
仅当“证书请求文件”选择“系统生成文件”时,需要配置该参数。
表2 高级配置 参数名称
参数说明
示例
密钥算法
选择待申请私有证书的密钥算法和密钥的位大小。
可选择“RSA2048”、“RSA4096”、“EC256”、“EC384”、“SM2”。
RSA2048
签名哈希算法
当“密钥算法”选择“SM2”时,,待申请私有证书签名哈希算法默认为“SM3”,无需进行选择。
当密钥算法选择为非SM2时,选择待申请私有证书的签名哈希算法:
可选择“SHA256”、“SHA384”、“SHA512”。
SHA256
密钥用法
选择待申请证书的密钥用法,支持选择(可多选):
- digitalSignature(数字签名)
- nonRepudiation(防抵赖)
- keyEncipherment(密钥加密)
- dataEncipherment(数据加密)
- keyAgreement(密钥协议)
- keyCertSign(证书签发)
- cRLSign(黑名单签名)
- encipherOnly(仅加密)
- decipherOnly(仅解密)
digitalSignature
增强型密钥用法
选择待申请证书的增强型密钥用法,支持选择(可多选):
- 服务器身份验证
- 客户端身份验证
- 代码签名
- 安全电子邮件
- 时间戳
服务器身份验证
自定义扩展字段
填写待申请证书的自定义信息。
-
(可选)配置证书AltName信息
如果该私有证书需要应用到多个主体,可以通过证书AltName添加其他主体的信息。
支持配置“IP address”、“DNS”、“Email”和“URI”四种类型的AltName信息。配置不同的类型AltName信息时,需要填写对应类型的值:
- IP address:填写IP地址
- DNS:填写域名
- Email:填写邮箱
- URI:填写网络地址
最多可配置5条AltName信息。
-
- 选择签发CA。
表3 签发CA 参数名称
参数说明
CA名称(CN)
选择已创建的私有CA的名称。
类型
选择“CA名称(CN)”后,系统将自动显示该CA的类型。
CA编号
选择“CA名称(CN)”后,系统将自动显示该CA的编号。
有效期
设置私有证书的有效期。
说明:- 您可以自定义私有证书有效期,该有效期不得超过当前已激活私有CA的有效期。
- 私有CA有效期最长为30年。
- 在“企业项目”下拉列表中选择您所在的企业项目。
企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。
如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
“default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
- 选择证书请求文件生成方式。
- (可选)设置“标签”:为当前购买的证书添加新标签,关于标签设置详情,请参见创建标签。
- 确认信息以及价格无误后,单击“确定”。
申请成功后,系统将返回到私有证书页面,在页面右上角弹出“申请证书xxx成功!”,则说明私有证书申请成功。
后续处理
私有证书签发后,就可以下载到本地,并分发给证书主体进行安装使用,详细操作请参见下载私有证书。