更新时间:2022-04-19 GMT+08:00
分享

创建私有CA

华为云云证书管理服务提供有PCA服务,可以帮助您通过简单的可视化操作,建立用户自己完整的CA层次体系并使用它签发证书。

本章节指导用户如何通过云证书管理控制台创建私有CA(支持创建根CA和从属CA)。

背景信息

  • 私有CA分为根CA和从属CA(即中间CA),从属CA隶属于根CA,根CA下可以包含多个从属CA。
  • 首次创建私有CA时,须先创建根CA。
  • 每个用户可以创建100个CA,已计划删除的私有CA也将计入CA限制值内,直到计划删除CA执行删除为止。

操作步骤

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,并在左侧导航栏选择私有证书管理 > 私有CA进入私有CA管理界面。
  3. 在私有CA列表左上角,单击“创建CA”,进入创建CA界面。
  4. 选择待创建私有CA的使用区域。

    目前仅支持按需计费,因此无需选择计费模式。

  5. 配置私有CA信息。

    您需要填写“基本信息”“证书唯一标识名称(DN)”“证书吊销配置”信息。

    1. 配置基本信息,如图1所示,参数说明如表1所示。
      图1 基本信息
      表1 基本信息参数说明

      参数名称

      参数说明

      取值样例

      CA类型

      选择待创建的私有证书颁发机构的类型。

      CA类型:

      • 根CA:如果要建立新的CA层次结构,则选择此项。
        说明:

        首次创建私有CA,则须创建根CA。

      • 从属CA:用于在现有的CA层次结构中增加新的层次。

      根CA

      密钥算法

      选择密钥算法和密钥的位大小。

      • RSA2048
      • RSA4096
      • EC256
      • EC384

      RSA2048

      签名哈希算法

      “CA类型”选择“根CA”时,显示该参数。

      选择签名哈希算法:

      • SHA256
      • SHA384
      • SHA512

      SHA256

      有效期

      “CA类型”选择“根CA”时,显示该参数。

      选择私有证书颁发机构有效期,可选择最长有效期为30年。

      3年

    2. 配置证书唯一标识名称(Distinguished Name,DN)信息,如图2所示,参数说明如表2所示。
      图2 DN信息
      表2 DN信息参数说明

      参数名称

      参数说明

      取值样例

      CA名称(CN)

      自定义私有CA名称。

      -

      国家/地区

      申请单位所属国家或地区,只能是两个字母的国家或地区代码。

      CN

      省/市

      申请单位所在省名或市名,可以是中文或英文。

      ShenZhen

      城市

      申请单位所在城市名,可以是中文或英文。

      GuangZhou

      公司名称(O)

      申请单位名称法定名称,可以是中文或英文。

      Huawei Technologies Co., Ltd.

      部门名称(OU)

      申请单位的所在部门,可以是中文或英文。

      Cloud Dept.

    3. (可选)配置证书吊销信息。

      如果需要PCA为私有CA吊销的证书发布证书吊销列表(Certificate Revocation List,CRL),则可配置证书吊销信息。

      若无需配置,请直接跳过该步骤。

      配置证书吊销信息,如图3所示,参数说明如表3所示。

      图3 证书吊销
      表3 证书吊销参数说明

      参数名称

      参数说明

      OBS授权

      确认是否授权PCA服务访问您的OBS桶并上传CRL文件。

      若确认授权,则单击“立即授权”,并根据提示完成授权。

      授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。

      若已授权,则无需再次授权。

      启用CRL发布

      确认是否启用CRL发布。

      OBS桶

      选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。

      CRL更新周期

      CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。

      请设置为7~30的整数。

  6. 单击“下一步”,进入确认信息页面。
  7. 确认信息以及价格无误后,单击“确认并创建”,完成创建私有CA操作。

    若创建的是根CA,则创建后便已激活;若创建的为从属CA,则需要进行激活操作。

    私有从属CA创建后,如需立即安装CA证书并激活CA,则单击“立即激活”;如需后续再激活,单击“稍后再激活”

后续处理

私有根CA创建成功后,即可用于签发私有证书,申请私有证书详细操作请参见申请私有证书

私有从属CA创建成功后,需要安装证书并激活CA,具体操作请参见激活私有CA

分享:

    相关文档

    相关产品

关闭导读