自定义配置CA
前提条件
- 密钥产生方式可以选择通过“软件”或“硬件密码机”来生成CA证书密钥。如果选择硬件密码机,则需要先添加密码机设备到系统。配置方式请参见管理密码机。
- 如果需要将CA对应的CRL发布到CRL服务器,需先将CRL发布服务器信息添加到系统中。配置方式请参见配置CRL发布服务器。
- 已具备新增、修改、更新、激活、查看、删除CA,导入、删除交叉证书,下载CSR,下载关联证书和下载CA证书的权限。
背景信息
CA服务为用户提供证书签发方案,用于满足用户无CA或用户CA不满足要求的情况。首次使用CA服务或当前CA服务中无已配置的CA时,用户可以在向导式配置界面创建CA。
用户在导入外部证书时,必须保证该证书是由可信CA签发的证书,如果不是,则存在安全风险。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
如果当前系统中未创建CA,会弹出警告提示框,请单击“取消”。
- 单击“新增”,配置CA所需的各项参数。参数说明请参见表1 CA参数说明表。
建议证书链中的CA证书公共名称唯一。
表1 CA参数说明表 参数
说明
取值建议
基本信息
名称
CA的名称。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
缺省值:无
建议值:无
状态
可选择创建一个激活状态、未激活状态或待定状态的CA。
- 激活:该状态的CA可以签发证书。
- 未激活:该状态的CA不可以签发证书。
- 待定:当CA状态为“待定”时,证书配置方式自动勾选“创建CSR文件”。
待定状态的CA需要下载对应的CSR文件,并向其他CA申请子CA证书。将子CA证书和CA证书链导入系统,导入后CA创建完成,变为激活状态。
说明:在上传CA证书前,不能通过待定状态的CA申请证书。
缺省值:激活
建议值:激活
签名算法
可根据需求选择CA签发证书时使用的签名算法。
说明:签名算法RSASSA-PSS比RSA更安全。目前仅TLS1.3支持RSASSA-PSS签名的证书,TLS1.2及以下版本不支持。
签名算法详细说明请参见表1。
RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
缺省值:无
建议值:无
证书序列号长度
CA签发的证书序列号长度,以及CA本身证书序列号长度。该序列号长度为组成序列号的十六进制字符数量。
取值范围为18~40之间的整数,单位为字符。
缺省值:30
建议值:30
最大有效期
可配置签发的证书的最大有效期。
说明:签发证书最大有效期至9999年12月31日 23:59:59。
可配置签发的证书的最大有效期为1~9999年,3~119988月或90~3649635天。
缺省值:80年
建议值:80年
CA证书
证书配置方式
选择的证书配置方式不同,界面显示对应需要配置的信息。
根据实际需要选择证书配置方式。
- 创建根CA可选择“创建自签名证书”或“上传证书文件”。
- 创建子CA可选择“上传证书文件”、“创建CSR文件”、“内部CA签名”。
创建自签名证书
证书模板
自签名CA为根CA,使用CA本身私钥对其证书进行签名。
通过自签名方式创建CA时,需要选择证书等级为“根CA”的证书模板,并填写模板中配置的使用者的相关信息。
缺省值:无
建议值:无
上传证书文件
证书文件
通过上传本地证书文件创建CA。
本地证书文件应包含CA证书及对应的私钥。如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 如果上传的CA证书文件为根CA证书,则创建一个根CA。
- 如果上传的CA证书文件为子CA证书,则创建一个子CA。
说明:
如果上传的CA证书文件为子CA证书,则需要同时上传对应的证书链,否则会导致创建CA失败。
- 上传的证书文件必须是.p12,.pfx或.jks格式。
- 只能上传1个证书,且文件大小小于20KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
- 缺省值:无
- 建议值:无
文件口令
用户在申请证书时为证书设置的密码,包含在.p12文件中,在上传证书文件时需要输入该密码。
缺省值:无
建议值:无
上传证书链
上传对应的证书链,可选择多个文件。比如,当前导入的是一个三级CA证书,则上传对应的一级CA证书和二级CA证书。说明:如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 上传的证书链文件必须为小于100KB的.cer,.crt或.pem格式文件。
- 一次最多可上传10个文件。上传的文件总大小不超过100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
- 缺省值:无
- 建议值:无
创建CSR文件
证书模板
当CA状态为“待定”时,证书配置方式自动勾选“创建CSR文件”。
待定状态的CA需要下载对应的CSR文件,并向其他CA申请子CA证书。将子CA证书及其证书链导入系统,导入后CA创建完成,变为激活状态。
通过创建CSR文件方式创建CA时,需要选择证书等级为“子CA”的证书模板,并填写模板中配置的使用者的相关信息。
缺省值:无
建议值:无
内部CA签名
内部CA
内部CA签名方式是指为内部某CA创建子CA。该子CA由选定的内部CA签发。
通过内部CA签名方式创建子CA时,需要选择一个CA作为父CA,且所选父CA至少关联一个证书等级为“子CA”的证书模板。
缺省值:最后创建的CA
建议值:无
证书模板
通过内部CA签名方式创建子CA时,需要选择证书等级为“子CA”的证书模板,并填写模板中配置的使用者的相关信息。
缺省值:无
建议值:无
密钥产生方式
可以选择通过“软件”或“硬件密码机”来生成CA证书密钥。如果选择硬件密码机,则需要先添加密码机设备到系统。配置方式请参见管理密码机。
缺省值:软件
建议值:软件
如果当前有已连通状态的硬件密码机,则缺省值和建议值为硬件密码机。
CRL管理
证书吊销列表生成间隔时间
证书吊销列表生成间隔时间。CA会根据生成间隔周期性地生成吊销列表。
取值范围为1~7300之间的整数,单位为天。
缺省值:25
建议值:25
证书吊销列表生成时间
可自定义证书吊销列表生成时间。
缺省值:当前系统时间
建议值:当前系统时间
证书吊销列表重叠时间
吊销列表是周期性生成的,在上一个吊销列表即将到期之前需要生成新的吊销列表,以确保每个时刻都有可用的吊销列表。吊销列表重叠时间用于指定在上一个吊销列表到期之前多久生成新的吊销列表,以确保上一个吊销列表到期之前会有新的吊销列表生成。
取值范围为1~60之间的整数,单位为分钟。
缺省值:10
建议值:10
包含吊销原因
取值说明如下:
“是”:吊销列表中会包含被吊销证书的吊销原因。
“否”:吊销列表中不包含被吊销证书的吊销原因。
缺省值:是
建议值:是
CRL发布服务器
可根据需求选择CRL发布服务器。需先将CRL发布服务器信息添加到系统中。配置方式请参见配置CRL发布服务器。
缺省值:无
建议值:无
发布方式
设置CRL发布服务器的发布类型,发布类型分为手动发布和自动发布。
勾选自动发布后必须配置CRL发布服务器和发布周期。
- 选择“自动发布”时,缺省发布周期为60分钟。勾选自动发布后必须配置CRL发布服务器和发布周期,可配置发布周期为1~259200分钟,1~4320小时,1~180天。
- 缺省值:去勾选
- 建议值:去勾选
扩展项管理
CRL分发点
指CRL的发布位置,可以根据这个参数来获取到证书对应的CRL。例如,https://IP地址:端口号/caname.crl。
说明:通过CRL分发点获取到的CRL可以用来校验由CA签发的证书的有效性,CA服务不会自动将CRL发布到CRL分发点,需要用户自行维护该分发点中CRL文件的有效性。
每个CA最多可配置4个CRL分发点。
缺省值:无
建议值:无
授权信息访问
授权信息访问表示如何访问CA提供的信息和服务。
- 证书颁发机构颁发者:指下载CA证书的URI,可以根据这个参数来下载CA证书。例如,https://ca.example/caname.cer。
- 联机证书状态协议:指OCSP服务器的URI。例如,https://ocsp.company.com。
联机证书状态协议最多添加4个。
缺省值:无
建议值:无
- 完成配置后,单击“下一步”。
- 在关联模板列表中,选择需要关联的模板。
- 在默认模板列表中,从已关联模板中选择一个作为默认模板。
- 通过CMP协议或隐私CA协议申请证书时,如果请求报文中携带模板名称参数,则使用报文中指定的模板;如果请求报文中没有携带模板名称参数,则使用CA的默认模板。
- 1个CA只能设置1个默认模板。
- 单击“下一步”。
- 如果需要在下一步签发“响应保护身份证书”,关联模板中至少选择一个证书等级为“终端实体”的模板。
- 如果“证书配置方式”选择“创建CSR文件”,单击“提交”,完成配置。
- 设置“签发响应保护证书”和“CA证书置为TLS信任证书”等信息,单击“提交”,完成配置。
- (可选)如果在步骤8中“CA证书置为TLS信任证书”选择“是”,需要选择是否立即重启服务。
- 在弹出的提示框中单击“立即重启”,依次单击“确定”,使“CA证书置为TLS信任证书”配置生效。
- 在弹出的提示框中单击“稍后重启”,后续可在页面重启服务。
- 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
- 在页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。
- 操作完成后,可在页面,查看当前CA对应的TLS信任证书。详细介绍请参见配置TLS章节。
- 如果未重启服务,会导致“CA证书置为TLS信任证书”配置不生效。
后续处理
- 修改CA:
- 修改CA配置信息时,仅可以修改该CA的最大有效期、证书序列号长度、证书吊销列表生成间隔时间、证书吊销列表生成时间、证书吊销列表重叠时间、包含吊销原因、CRL发布服务器、发布方式、CRL分发点、默认模板和关联模板。
- 当CA状态为待定时,不可修改该CA的配置信息。
- 去激活CA:
对于已创建且状态为激活的CA,在页面单击该CA右侧的“去激活”,在弹出的“警告”框中确认信息后,单击“确定”。可去激活该CA。
- 激活CA:
- 下载CA证书:
在页面单击CA右侧的“下载CA证书”,根据实际需求选择并下载对应文件格式的CA证书。
在页面单击CA名称,单击“下载CA证书”,可将.cer格式的CA证书下载到本地。
当CA状态为待定时,不可下载CA证书。
- 下载CSR:
- 上传CA证书:
对于已创建且状态为待定的CA,在页面单击“操作”列的“更多 > 上传CA证书”,可上传CA证书。
- 上传的证书文件必须是.cer,.crt或.pem格式,只能上传1个证书,且文件大小小于10KB。证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
- 当CMP请求报文使用当前CA签发的证书做消息签名的时候,CA端使用当前CA以及CA证书链校验请求报文的签名证书。
- 对于已创建且状态为待定的CA,15天内未上传证书,该CA会被清除。
- 如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 更新CA:
在页面单击“操作”列的“更多 > 更新”,通过配置CA参数来更新CA。如果该CA是根CA,完成更新后会自动创建OldWithOld、OldWithNew和NewWithOld三本证书。如果该CA是子CA,完成更新后会自动创建OldWithOld证书。可单击CA的名称,在“关联证书”页签中下载相关证书。
通过创建CSR文件方式创建的CA更新时,在页面单击“操作”列的“更多 > 更新”,生成新的CSR文件,CA状态变更为“更新中”,此时CA无法签发证书。如果该CA之前有签发响应保护证书或TLS证书,需自行更新证书。
- 1个CA最多可被更新16次。
- 通过创建CSR文件和上传证书文件方式创建的子CA更新时,第三方机构颁发的根CA只允许更新一次。
- 取消更新CA:
通过创建CSR文件和上传证书文件方式创建的子CA支持自动取消更新和手动取消更新。
- 自动取消更新:在页面单击“操作”列的“更多 > 更新”后,如果15天没有上传新的CA证书,则CA状态会自动从“更新中”变更为“激活”,更新产生的信息将全部失效,CA恢复正常使用。
- 手动取消更新:在页面单击“操作”列的“更多 > 取消更新”,在弹出的“警告”框中单击“确定”,CA状态从“更新中”变更为“激活”,更新产生的信息将全部失效,CA恢复正常使用。
- 删除CA:
在页面单击“操作”列的“更多 > 删除”,可删除该CA以及所有与该CA相关的配置。
只有当该CA未签发子CA或证书时才可以被删除。
相关任务
- 查看CA:
在页面单击某CA的名称,在“CA信息”页签中可查看该CA的详细信息,例如状态、证书序列号长度、签名算法、关联模板和默认模板等信息。
- 查看CA证书:
在页面单击某CA的名称,在“CA证书”页签中可查看该CA证书的详细信息,例如版本、序列号、签名算法、使用者、有效期等信息。
当CA状态为待定时,不可查看该CA证书信息。
- 查看CA关联证书:
在页面单击某CA的名称,在“关联证书”页签中单击证书序列号,可查看该CA关联证书的详细信息,例如版本、序列号、签名算法、使用者、有效期等信息。
- OldWithNew:CA密钥更新时生成的证书,包含旧密钥的公钥,证书有效期为旧CA的有效期。对于以根CA新证书为信任根的实体,如果对暂时还未替换使用根CA新证书为信任根的实体进行验证,需要获得根CA的OldWithNew证书。验证过程为使用根CA新密钥验证旧密钥,然后用旧密钥验证旧的根CA下属的终端实体。
- NewWithOld:CA密钥更新时生成的证书,包含新密钥的公钥,证书生效日期为新CA的生效日期,失效日期为旧CA的失效日期。对于以根CA旧证书为信任根的实体,应该尽快重新申请证书。在此期间,如果对以根CA新证书为信任根的实体进行验证,需要获得根CA的NewWithOld证书。验证过程为使用根CA旧密钥验证新密钥,然后用新密钥验证新的根CA下属的终端实体。
- 下载CA关联证书:
在页面单击某CA的名称,在“关联证书”页签中单击“下载”,根据实际需求选择并下载对应文件格式的CA关联证书。如果勾选多本证书下载,会将所勾选的证书合并下载到一个.pem格式的证书文件中。
- 导入交叉证书:
在页面单击CA的名称,在“关联证书”页签中单击“导入交叉证书”,可导入其他CA的证书进行交叉认证。
- 上传的交叉证书文件必须是.cer,.crt或.pem格式,一次最多可上传1个文件,且单次上传的文件大小小于10KB,最多可上传16本交叉证书。
- 如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 删除交叉证书:
在页面单击CA的名称,在“关联证书”页签中找到需要删除的交叉证书,单击“删除”,在弹出的“警告”框中确认信息后,单击“确定”。可删除该交叉证书。
- 查找CA:
- 查找关联模板:
在页面创建或修改CA时,在设置关联模板的页面中,在搜索框内输入关联模板名称,单击
,找到指定关联模板。CA服务支持按照关联模板名称模糊查询。 - 查找默认模板:
在页面创建或修改CA时,在设置默认模板的页面中,在搜索框内输入默认模板名称,单击
,找到指定默认模板。CA服务支持按照默认模板名称模糊查询。
