配置证书模板
前提条件
已具备新增、修改、复制、查看、删除证书模板,新增、修改、查看、删除自定义扩展项的权限。
背景信息
- 证书模板是证书颁发机构中的重要组成部分,是用于证书申请和管理的一组规则和设置。这些模板的规则和设置可以很简单也可以很复杂,从而可以用来应对所有用户的不同需求。
- 升级场景下使用证书模板时,请使用密钥算法为RSA(3072位及以上)或ECDSA(256位及以上)的证书模板。
- 预置模板是指系统自带的模板,预置模板不可删除或修改。参数说明请参见表1,下表展示了预置模板的部分参数说明,实际配置请以页面信息为准。
表1 预置模板参数说明表 证书等级
模板名称
说明
支持密钥类型
默认密钥类型
有效期
基本约束
密钥用途
增强型密钥用法
证书策略ID
使用者
根CA
ROOT_CA_PREDEFINED_RSA4096
根CA的安全性和可信任程度都是最高的,如果用户希望创建根CA证书,可使用该模板。
RSA4096
RSA4096
40年
- 紧要
- 类型:CA
- 路径长度约束:无
数字签名,CRL签名,证书签名。
不涉及
2.5.29.32.0
公共名称(CN),国家/地区(C),组织名称(O),组织单位名称(OU)。
ROOT_CA_PREDEFINED_ECDSA384
ECsecp384r1
ECsecp384r1
ROOT_CA_PREDEFINED_RSA4096_60YEARS
RSA4096
RSA4096
60年
子CA
SUB_CA_PREDEFINED_RSA4096
用于向根CA或者子CA申请子CA证书,如果用户希望构造多级CA证书链,可使用该模板。
RSA4096
RSA4096
25年
- 紧要
- 类型:CA
- 路径长度约束:0
SUB_CA_PREDEFINED_ECDSA384
ECsecp384r1
ECsecp384r1
SUB_CA_PREDEFINED_RSA4096_60YEARS
RSA4096
RSA4096
60年
终端实体
END_ENTITY_PREDEFINED_RSA2048
用于向根CA或者子CA申请终端实体证书,如果用户希望申请终端实体证书,可使用该模板。
RSA2048
RSA2048
2年
- 类型:终端实体
- 路径长度约束:无
数字签名,内容承诺(防抵赖),密钥加密,数据加密,密钥协商。
END_ENTITY_PREDEFINED_MULTI_KEY_TYPES
RSA2048,RSA3072,RSA4096,ECsecp256r1,ECsecp384r1
RSA2048
END_ENTITY_PREDEFINED_RSA3072
RSA3072
RSA3072
END_ENTITY_PREDEFINED_ECDSA256
ECsecp256r1
ECsecp256r1
END_ENTITY_PREDEFINED_WEB_TLS
RSA2048,RSA3072,RSA4096,ECsecp256r1,ECsecp384r1
RSA2048
TLS Web服务器身份验证,TLS Web客户端身份验证
END_ENTITY_PREDEFINED_MULTI_KEY_TYPES_50YEARS
RSA2048,RSA3072,RSA4096,ECsecp256r1,ECsecp384r1
RSA2048
50年
不涉及
预置的证书模板的“有效期偏移量”默认为-10秒,表示:使用该预置的证书模板申请证书时,证书的实际有效期将向前偏移10秒。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 单击“新增”,配置证书模板所需的各项参数。
参数说明请参见表2。
表2 证书模板参数说明表 参数
说明
取值建议
名称
证书模板的名称。
说明:证书模板名称不能以类似ROOT_CA_PREDEFINED、SUB_CA_PREDEFINED、END_ENTITY_PREDEFINED开头,防止系统升级后导致和预置的证书模板的名字重名。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
缺省值:无
建议值:无
证书等级
包括根CA、子CA和终端实体。
缺省值:终端实体
建议值:终端实体
描述
证书模板的简单描述,可用于对模板补充描述以标识不同的模板。
描述为0~128个字符,字符类型可以是数字、大小写字母、中文、空格或标点符号(,.!:;?)(标点符号不区分中英文但不能以英文;结尾)。
缺省值:无
建议值:无
使用者
证书使用者的可识别名,包括公共名称(CN)、国家/地区(C)、邮箱(E)、组织名称(O)、组织单位名称(OU)、省/州(ST)、市/区(L)、域名构件(DC)、用户标识符(UID)和设备序列号(SERIALNUMBER)。
使用者信息除公共名称(CN)外其他字段支持勾选后编辑,各字段取值要求如下:
- 证书等级为根CA或子CA时
- 国家/地区(C)仅支持2位大写字母。
- 邮箱(E)须符合邮箱地址格式,支持大小写字母、数字、“-”、“_”或“.”,长度上限为255。
- 组织名称(O)、组织单位名称(OU)、省/州(ST)、市/区(L)、用户标识符(UID)支持中文、大小写字母、数字、空格、“_”或“.”,且不能全为空格。
- 域名构件(DC)支持大小写字母、数字、“-”或“_”,且不能以“-”开头或结尾。
- 证书等级为终端实体时
- 国家/地区(C)仅支持2位大写字母。
- 邮箱(E)须符合邮箱地址格式,支持大小写字母、数字、“-”、“_”或“.”,长度上限为255。
- 组织名称(O)、组织单位名称(OU)、省/州(ST)、市/区(L)、用户标识符(UID)支持中文、大小写字母、数字、空格、“:”、“_”或“.”,且不能全为空格。
- 域名构件(DC)支持大小写字母、数字、“-”或“_”,且不能以“-”开头或结尾。
- 设备序列号(SERIALNUMBER)支持大小写字母、数字、空格、“-”、“_”、“:”或“.”组成,且不能全为空格。
说明:当证书等级为“终端实体”时,会展示设备序列号。
缺省情况下,“公共名称”为必选项,且不可去勾选。在需要填写模板使用者信息时,公共名称长度必须为1~64个字符,由中文、大小写字母、数字、空格、“-”、“_”、“:”或“.”组成,且不能全为空格。
当需要填写模板使用者信息有设备序列号时,设备序列号长度必须为1~64个字符,由大小写字母、数字、空格、“-”、“_”、“:”或“.”组成,且不能全为空格。
当填写公共名称(CN)、组织名称(O)、组织单位名称(OU)、省/州(ST)、市/区(L)、用户标识符(UID)或设备序列号(SERIALNUMBER)信息时,若填写信息以空格开头或者空格结尾,则证书中的使用者信息不显示这些空格。例如:输入的公共名称(CN)信息为“ ROOT root ”,则生成证书中的CN信息为“ROOT root”。
如果勾选了“域名构件”,在需要填写模板使用者信息时,1次最多可配置4个域名构件。
缺省值:公共名称
建议值:公共名称、国家/地区、组织名称、组织单位名称
允许覆盖模板中的使用者
申请证书时,是否使用请求中的使用者信息。取值说明如下:
“是”:证书中的使用者为请求信息中使用者信息。
“否”:当证书模板中勾选并填写了使用者信息,证书中的使用者为证书模板中配置的使用者信息;当证书模板中勾选但未填写使用者信息,且请求信息中携带使用者信息,证书中的使用者为请求信息中使用者信息;当证书模板中未勾选使用者信息,证书中不携带除公共名称(CN)外的使用者信息。
说明:允许的使用者字段:C、O、T、OU、CN、L、ST、SERIALNUMBER、E、DC、UID、STREET、SURNAME、GIVENNAME、INITIALS、GENERATION、DESCRIPTION、ROLE、unstructuredAddress、unstructuredName、UniqueIdentifier、DN、Pseudonym、PostalAddress、NameAtBirth、CountryOfCitizenship、CountryOfResidence、Gender、PlaceOfBirth、DateOfBirth、PostalCode、BusinessCategory、TelephoneNumber、Name、organizationIdentifier。
缺省值:否
建议值:是
有效期
用于设置签发证书的有效期。
说明:签发证书最大有效期至9999年12月31日 23:59:59。
- 证书等级为根CA时,证书模板可配置的有效期为20~9999年、240~119988月或7300~3649635天。
- 缺省值:80年
- 建议值:80年
- 证书等级为子CA时,证书模板可配置的有效期为1~9999年、12~119988月或365~3649635天。
- 缺省值:80年
- 建议值:80年
- 证书等级为终端实体时,证书模板可配置的有效期为1~9999年、1~119988月或1~3649635天。
- 缺省值:50年
- 建议值:50年
有效期偏移量
证书申请后,终端实体系统与CA系统可能存在时间差,而这个时间差会导致证书尚未生效从而使证书加载失败。
比如终端实体系统当前时间为12:10:15,而CA服务当前时间为12:10:20,如果证书生效日期设置为12:10:20(CA服务时间),则证书申请后在终端实体系统上尚未生效,终端实体可能会加载证书失败。有效期偏移量用于解决该问题,上述情况中有效期偏移量可以设置为-10秒,CA端在签发证书时,证书生效日期会使用当前服务器时间基础上偏移-10秒,也就是12:10:10,这样证书签发后,在终端实体系统上日期已生效。
取值范围为-600~0之间的负整数,单位为秒。
缺省值:-10
建议值:-10
密钥算法
使用证书模板申请证书时使用的密钥算法。
缺省值:无
建议值:RSA/ECDSA
支持密钥类型
使用证书模板申请证书时支持的密钥类型。当证书等级为“终端实体”时可多选。
说明:RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
缺省值:无
建议值:RSA-3072、RSA-4096、secp256r1/P-256/prime256v1、secp384r1/P-384
默认密钥类型
使用证书模板申请证书时,若证书申请请求中未提供密钥,则按照默认密钥类型生成密钥。1个证书模板只能设置1个默认密钥类型。
说明:RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
缺省值:无
建议值:RSA-3072
模板用途
使用证书模板申请证书时,不同的模板用途,可签发不同类型的证书。
- 模板用途为通用,证书等级为终端实体时,模板对应的密钥用法CRL签名、证书签名为不可选,其他可自由选择。
- 模板用途为通用,证书等级为根CA或子CA时,模板对应的密钥用法可自由选择。
缺省值:通用
建议值:通用
使用者密钥识别符
证书使用者的唯一标识符。使用者密钥标识符为证书公钥的SHA1哈希值。
缺省值:必须
建议值:必须
颁发机构密钥识别符
含发行人和序列号
证书所含密钥的唯一标识符,用来区分同一证书颁发者的多对密钥。颁发机构密钥标识符为签发当前证书的CA证书公钥的SHA1哈希值。
含发行人和序列号,表示签发证书后,证书的颁发机构密钥标识符扩展项中会包含签发当前证书的CA证书的签发者和序列号。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为终端实体时:
- 缺省值:勾选
- 建议值:勾选
基本约束
基本约束用于标识当前证书类型为CA证书还是终端实体证书。如果证书等级配置为根/子CA,则使用该模板签发的证书,基本约束扩展项中证书类型会显示为CA;如果模板等级配置为终端实体,则使用该模板签发的证书,基本约束扩展项中证书类型会显示为终端实体。
- 证书等级为根CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为子CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
路径长度约束
路径长度约束扩展项为0时,表示在有效的证书路径中,该CA证书只能签发终端实体证书;路径长度约束扩展项大于0时,表示从CA证书到终端实体证书的路径中可能存在的中间子CA证书的最大数量。如果一个CA体系结构有n层,则顶层CA证书路径长度约束为n-2,向下每一层证书依次为n-3,n-4等,所得结果大于等于0。
例如:n=4,则该CA的四层体系结构为根CA > 子CA1 > 子CA2 > 终端实体证书,即根CA签发子CA1,子CA1签发子CA2,子CA2签发终端实体证书。此时根CA的路径长度为2,子CA1的路径长度为1,子CA2的路径长度为0。
说明:只有当“证书等级”为“根CA”或“子CA”时,可以设置路径长度约束。
路径长度约束必须在0~9之间。
当模板的证书等级为“根CA”时,路径长度约束缺省值为1。
当模板的证书等级为“子CA”时,路径长度约束缺省值为0。
主题备用名称
域名
证书颁发对象证书主题的别名包含域名。
如果勾选了“主题备用名称”,系统会默认勾选“IP地址”选项。
缺省值:无
建议值:无
IP地址
证书颁发对象证书主题的别名包含IP地址。
邮件地址
证书颁发对象证书主题的别名包含邮件地址。
目录名称
证书颁发对象证书主题的别名包含目录名称。
其他名字
证书颁发对象证书主题的别名包含其他名字。
主题目录属性
主题目录属性扩展项用于表示证书主题的识别属性(例如国籍)。
当“证书等级”为“根CA”或“子CA”时,不可配置。
缺省值:无
建议值:无
证书策略
证书策略表示证书颁发的策略以及证书应用的场景。证书策略ID采用OID(对象标识符)形式,2.5.29.32.0表示任意策略。如果用户需要制定自己的证书策略,则必须创建自己的证书策略ID,该ID应根据IANA分配的企业编号进行构造,用户可以从IANA免费获取企业编号。
证书策略由证书策略ID和限定符组成,证书策略ID在一个证书的证书策略扩展项中不能重复出现;限定符用于表达依赖于该策略的细节信息,主要包含以下三种:
- 无限定符:表示该证书策略中无附加信息。
- CPS URI:CPS限定符表示指向CA发布的证书实践声明的URI地址。
- 用户通知文本:用来向证书使用者展示证书相关信息。
每个证书模板最多可创建4个证书策略。
证书策略ID长度必须在3~256之间,以0./1./2.为前缀,"."后面不能跟随0后再跟随其他数字,例如:2.5.29.32.0格式正确,2.02格式错误。
CPS URI长度必须在1~256之间。
用户通知文本长度必须在1~200之间,由数字、大小写字母、中文、空格或标点符号(,.!:;?)组成,且不能全为空格。
缺省值:去勾选
建议值:去勾选
密钥用法
数字签名
证书的私钥可用于生成数字签名,证书的公钥可用于数字签名的验证。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:勾选
- 建议值:勾选
内容承诺(防抵赖)
证书密钥可用于内容承诺。防止签署实体错误地拒绝某些已签名服务的操作。在以后发生冲突的情况下,可靠的第三方可以确定签名数据的真实性。证书对应的私钥可用于数字签名,证书的公钥可用于验证数字签名的真实性,以达到内容承诺(防抵赖)的目的。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
密钥加密
在密钥传输过程中,用于加密密钥。证书的公钥可用于密钥加密。证书对应的私钥可用于加密密钥的解密。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
CRL签名
证书对应的私钥可用于签发CRL。证书的公钥可用于验证吊销列表(CRL)上的签名。
- 证书等级为根CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为子CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为终端实体时:
- 缺省值:无
- 建议值:无
数据加密
用于加密用户重要数据而非编码密钥。证书的公钥可用于数据加密。证书对应的私钥可用于加密数据的解密。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
证书签名
证书对应的私钥可用于签发证书。证书的公钥可用于验证证书上的签名。
- 证书等级为根CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为子CA时:
- 缺省值:勾选
- 建议值:勾选
- 证书等级为终端实体时:
- 缺省值:无
- 建议值:无
密钥协商
证书密钥可用于密钥协商,比如可用于Diffie-Hellman密钥协商过程。证书公钥可用于密钥协商过程中的加密,证书对应的私钥可用于密钥协商过程中的解密。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:勾选
- 建议值:勾选
仅加密
证书密钥,只用于执行密钥协商协议时对数据进行加密。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
仅解密
证书密钥,只用于执行密钥协商协议时对数据进行解密。
- 证书等级为根CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为子CA时:
- 缺省值:去勾选
- 建议值:去勾选
- 证书等级为终端实体时:
- 缺省值:去勾选
- 建议值:去勾选
增强型密钥用法
TLS Web服务器身份验证
证书可作为TLS Web服务器身份证书,用于TLS Web服务器身份验证。如勾选TLS Web服务器身份证书,建议勾选密钥用法处的数字签名,以及密钥加密或密钥协商。
说明:若申请的证书用于TLS服务端身份证书,则勾选增强型密钥用法后,需要勾选此项。
缺省值:去勾选
建议值:去勾选
TLS Web客户端身份验证
证书可作为TLS Web客户端身份证书,用于TLS Web客户端身份验证。如勾选TLS Web客户端身份验证,建议勾选密钥用法处的数字签名、密钥协商。
说明:若申请的证书用于TLS客户端身份证书,则勾选增强型密钥用法后,需要勾选此项。
缺省值:去勾选
建议值:去勾选
可执行代码签名
证书密钥可用于对可执行代码进行签名,如勾选可执行代码签名,建议勾选密钥用法处的数字签名。
缺省值:去勾选
建议值:去勾选
时间戳
证书可用于时间戳服务,如勾选时间戳,建议勾选密钥用法处的数字签名、内容承诺(防抵赖)。
缺省值:去勾选
建议值:去勾选
安全电子邮件
证书可用于电子邮件保护,如勾选安全电子邮件,建议勾选密钥用法处的数字签名、内容承诺(防抵赖),以及密钥加密或密钥协商。
缺省值:去勾选
建议值:去勾选
IPSEC终端系统
证书密钥可用于标识IPSEC协议的终端系统。
缺省值:去勾选
建议值:去勾选
IPSEC用户
证书密钥可用于标识IPSEC协议的用户。
缺省值:去勾选
建议值:去勾选
IPSEC通道
证书密钥可用于标识IPSEC协议的隧道端点。
缺省值:去勾选
建议值:去勾选
自定义
用户自定义添加增强型密钥用法的名称、OID。
一次最多可增加8个自定义的增强型密钥用法。
CRL 分发点
指CRL的发布位置,可以根据这个参数来获取到证书对应的CRL。
当“证书等级”为“根CA”时,不可配置。
缺省值:去勾选
建议值:去勾选
授权信息访问
授权信息访问包含了证书签发者提供的服务信息,比如可包含下载对应CA证书的URI,或者OCSP服务的URI。
根据实际需要勾选该扩展项。在创建CA时,可配置“证书颁发机构颁发者”和“联机证书状态协议”。
网络功能类型
3GPP(The 3rd Generation Partnership Project)定义的用于5G网络功能类型的证书扩展项。- 默认值:5G_DDNMF、5G_EIR、AANF、ADRF、AF、AMF、AUSF、BSF、CBCF、CEF、CHF、DCCF、DRA、EASDF、GBA_BSF、GMLC、HSS、ICSCF、IMS_AS、LMF、MBSF、MBSTF、MB_SMF、MB_UPF、MFAF、MME、MNPF、N3IWF、NEF、NRF、NSACF、NSSAAF、NSSF、NSWOF、NWDAF、PANF、PCF、PCSCF、PKMF、SCEF、SCP、SCSAS、SCSCF、SEPP、SMF、SMSF、SMS_GMSC、SMS_IWMSC、SOR_AF、SPAF、TSCTSF、UCMF、UDM、UDR、UDSF、UPF。
- 自定义:用户可自定义添加网络功能类型。
网络功能类型最多只能选择16个。
网络功能类型为1-32个字符,字符类型可以是数字、大小写字母、 点、中划线、下划线。
仅“证书等级”为“终端实体”时可配置。
缺省值:去勾选
建议值:去勾选
证书模板包含用于签发证书的各项信息,若签发的证书需进行扩展项配置,请参考表3。
表3 证书模板扩展项配置说明表 参数
证书等级
根CA
子CA
终端实体
使用者密钥识别符
默认勾选“必须”。
颁发机构密钥识别符
勾选后可勾选“必须”。
默认勾选,可勾选“必须”。
默认勾选,可勾选“必须”。
基本约束
默认勾选“紧要”、“必须”。
默认勾选“紧要”、“必须”。
勾选后可勾选“紧要”、“必须”。
主题备用名称
勾选后可勾选“紧要”、“必须”、“允许请求”,可同时勾选“紧要”、“必须”、“允许请求”。
勾选后可勾选“紧要”、“必须”、“允许请求”,可同时勾选“紧要”、“必须”、“允许请求”。
勾选后可勾选“紧要”、“必须”,可同时勾选“紧要”、“必须”、“允许请求”。
主题目录属性
不可选且默认不勾选。
不可选且默认不勾选。
勾选后默认勾选“允许请求”,且“紧要”、“必须”和“允许请求”均不可选。
证书策略
勾选后可勾选“紧要”、“必须”、“允许请求”。
密钥用法
默认勾选“紧要”、“必须”。
默认勾选“紧要”、“必须”。
默认勾选“紧要”,可勾选“必须”、“允许请求”。
增强型密钥用法
勾选后可勾选“紧要”、“必须”、“允许请求”。
CRL分发点
不可选且默认不勾选。
勾选后可勾选“紧要”、“必须”,CRL分发点勾选了“必须”后,在创建CA时扩展项管理须填写CRL分发点的URI,否则会造成离线场景下申请证书失败。
勾选后可勾选“紧要”、“必须”,CRL分发点勾选了“必须”后,在创建CA时扩展项管理须填写CRL分发点的URI,否则会造成离线场景下申请证书失败。
授权信息访问
勾选后可勾选“必须”,在创建CA时扩展项管理须填写授权信息访问的“证书颁发机构颁发者”和“联机证书状态协议”或者填写“证书颁发机构颁发者”和“联机证书状态协议”二者中之一,否则会造成离线场景下申请证书失败。
网络功能类型
不可选且默认不勾选。
不可选且默认不勾选。
勾选后可勾选“必须”、“允许请求”。
自定义扩展项
勾选后默认勾选“允许请求”。自定义扩展项配置请参见自定义扩展项。
说明:勾选“必须”后会造成离线场景下申请证书失败。
- 证书等级为根CA或子CA时
- 完成配置后,单击“提交”。
单击“重置”,清空已设置的参数值。
相关任务
- 查看证书模板
- 修改证书模板
在“证书模板”页面单击证书模板右侧的“修改”,可修改该证书模板的配置信息。
- 修改证书模板配置信息时,名称不可变更。
- 预置的证书模板不可修改。
- 如果某个模板的证书等级为子CA或者终端实体,且已经被某CA关联,不能修改该模板的证书等级为根CA。
- 复制证书模板
在“证书模板”页面单击证书模板右侧的“复制”,在弹出的“复制证书模板”框中填写“模板名称”,单击“提交”。可复制该证书模板。
- 删除证书模板
在“证书模板”页面单击证书模板右侧的“删除”,在弹出的“警告”框中确认信息后,单击“确定”。可删除该证书模板。
预置的证书模板不可删除。
- 查找证书模板
在“证书模板”页面的搜索框内输入证书模板名称,单击
,找到指定证书模板并查看详细信息。CA服务支持按照证书模板名称模糊查询。 - 自定义扩展项
在“自定义扩展项”页面单击“新增”,根据实际需要填写“名称”、“OID”和“描述”信息,单击“提交”,系统提示“新增成功”,单击“确定”。后续用户创建证书模板时可选择使用新增的自定义扩展项。
- 名称:自定义扩展项的名称。请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
- OID(全称ObjectIdentifier,对象标识符):若在证书模板中使用该自定义扩展项,OID将作为扩展项的唯一标识。OID长度必须在3~256之间,以0./1./2.为前缀,"."后面不能跟随0后再跟随其他数字,例如:2.5.29.32.0格式正确,2.02格式错误。
- 描述:请输入0~128个字符,字符类型可以是数字、大小写字母、中文、空格或标点符号(,.!:;?)(标点符号不区分中英文但不能以英文;结尾)。
- 最多新增16条自定义扩展项。
- 如果自定义扩展项已关联证书模板,仅支持修改“描述”信息,不支持删除该扩展项。
- 如果自定义扩展项未关联证书模板,支持修改“OID”和“描述”信息,支持删除该扩展项。
- 修改自定义扩展项:
在“自定义扩展项”页面单击自定义扩展项右侧的“修改”,可修改该自定义扩展项的配置信息。
修改自定义扩展项的配置信息时,名称不可变更。
- 删除自定义扩展项:
在“自定义扩展项”页面单击自定义扩展项右侧的“删除”,在弹出的“警告”框中确认信息后,单击“确定”。可删除该自定义扩展项。
