向导式配置根CA
前提条件
已具备初始化CA的权限。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在弹出的警告框中单击“确定”或单击“向导式配置”。
如果当前系统中未创建CA,会弹出警告框。
- 选择“作为根CA”,单击“下一步”。
- 配置根CA所需的各项参数。参数说明请参见表1。
表1 创建根CA参数说明 参数
说明
取值建议
名称
根CA名称,可自定义输入。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
签名算法
根CA签发证书时使用的签名算法。
可根据需求选择CA签发证书时使用的签名算法。
说明:签名算法RSASSA-PSS比RSA更安全。目前仅TLS1.3支持RSASSA-PSS签名的证书,TLS1.2及以下版本不支持。
签名算法详细说明请参见表1。
RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
缺省值:无
建议值:无
最大有效期
根CA签发的证书的最大有效期。
说明:签发证书最大有效期至9999年12月31日 23:59:59。
可配置签发的证书的最大有效期为1~9999年,3~119988月或90~3649635天。
缺省值:80年
建议值:80年
证书模板
选择创建根CA的模板。
预置模板具体信息请参见表1。
模板选择后会显示需要输入的使用者信息。
根据实际需要选择模板。
公共名称
根CA证书中使用者信息的公共名称。
说明:建议证书链中的CA证书公共名称唯一。
缺省值:无
建议值:无
国家/地区
根CA证书中使用者信息的国家或地区信息。
例如:中国则输入CN。其他则根据具体情况输入。
组织名称
根CA证书中使用者信息的组织名称。
缺省值:无
建议值:无
组织单位名称
根CA证书中使用者信息的组织单位名称。
缺省值:无
建议值:无
证书序列号长度(字符)
CA签发的证书序列号长度,以及CA本身证书序列号长度。该序列号长度为组成序列号的十六进制字符数量。
取值范围为18~40之间的整数,单位为字符。
缺省值:30
建议值:30
证书吊销列表生成时间
设置证书吊销列表的生成时间,一般显示为当前系统时间。
缺省值:当前系统时间
建议值:当前系统时间
证书吊销列表生成间隔时间(天)
设置每隔多久生成一次吊销列表。CA会根据生成间隔周期性地生成吊销列表。
取值范围为1~7300之间的整数,单位为天。
缺省值:25
建议值:25
包含吊销原因
取值说明如下:
“是”:吊销列表中会包含被吊销证书的吊销原因。
“否”:吊销列表中不包含被吊销证书的吊销原因。
缺省值:是
建议值:是
证书吊销列表重叠时间(分钟)
新的吊销列表与上一个吊销列表有效期的重叠时长。吊销列表是周期性生成的,该参数指定在上一个吊销列表过期前多长时间生成新的吊销列表,以确保每个时刻都有可用的吊销列表。
取值范围为1~60之间的整数,单位为分钟。
缺省值:10
建议值:10
- 单击“下一步”。
- 配置子CA所需的各项参数。参数说明请参见表2。
表2 创建子CA参数说明 参数
说明
取值建议
名称
子CA名称,可自定义输入。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
签名算法
子CA签发证书时使用的签名算法。
缺省值:无
建议值:无
最大有效期
子CA签发的证书的最大有效期。
说明:签发证书最大有效期至9999年12月31日 23:59:59。
缺省值:80年
建议值:80年
证书模板
选择创建子CA的模板。
预置模板具体信息请参见表1。
模板选择后会显示需要输入的使用者信息。
根据实际需要选择模板。
公共名称
子CA证书中使用者信息的公共名称。
说明:建议证书链中的CA证书公共名称唯一。
缺省值:无
建议值:无
国家/地区
子CA证书中使用者信息的国家或地区信息。
缺省值:默认显示为创建根CA时填写的信息。可根据实际需要修改。
建议值:无
组织名称
子CA证书中使用者信息的组织名称。
缺省值:默认显示为创建根CA时填写的信息。可根据实际需要修改。
建议值:无
组织单位名称
子CA证书中使用者信息的组织单位名称。
缺省值:默认显示为创建根CA时填写的信息。可根据实际需要修改。
建议值:无
证书序列号长度(字符)
CA签发的证书序列号长度,该序列号长度为组成序列号的十六进制字符数量。
取值范围为18~40之间的整数,单位为字符。
缺省值:30
建议值:30
证书吊销列表生成时间
设置证书吊销列表的生成时间,一般显示为当前系统时间。
缺省值:当前系统时间
建议值:当前系统时间
证书吊销列表生成间隔时间(天)
设置每隔多久生成一次吊销列表。CA会根据生成间隔周期性地生成吊销列表。
取值范围为1~7300之间的整数,单位为天。
缺省值:25
建议值:25
包含吊销原因
取值说明如下:
“是”:吊销列表中会包含被吊销证书的吊销原因。
“否”:吊销列表中不包含被吊销证书的吊销原因。
缺省值:是
建议值:是
证书吊销列表重叠时间(分钟)
吊销列表是周期性生成的,在上一个吊销列表即将到期之前需要生成新的吊销列表,以确保每个时刻都有可用的吊销列表。吊销列表重叠时间用于指定在上一个吊销列表到期之前多久生成新的吊销列表,以确保上一个吊销列表到期之前会有新的吊销列表生成。
取值范围为1~60之间的整数,单位为分钟。
缺省值:10
建议值:10
证书签发模板
用于签发终端实体证书的模板。
说明:- 单击“配置模板”,出现“配置模板”弹出框,单击模板名称可查看模板详情。
- 在“设置关联模板”区域选择“证书签发模板”。
- 然后在“设置默认模板”区域选择“默认证书签发模板”。
- 单击“提交”,如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
根据实际需要选择模板。
默认证书签发模板
通过CMP协议申请证书时,如果未指定证书签发模板,则系统使用默认签发证书模板签发证书。
根据实际需要选择模板。
- 单击“下一步”。
- 配置CMP协议所需的各项参数。参数说明请参见表3。
表3 配置CMP参数说明 参数
说明
取值建议
是否配置CMP
选择是否配置CMP。
说明:通过配置CMP,创建的CA可支持通过CMP协议在线申请证书,若不配置,创建的CA仅支持在界面离线申请证书。
缺省值:是
建议值:是
是否配置供应商信任证书
选择是否配置供应商信任证书。
缺省值:是
建议值:是
供应商信任证书
用于CMP协议申请证书,CA端使用供应商信任证书验证客户端的消息签名证书。当承载协议选择使用HTTPS时,供应商信任证书会作为CA端的TLS信任证书。当供应商信任证书用于TLS通信时,为保证TLS连接建立成功,需要上传完整的证书链。
如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
供应商信任证书文件为小于100KB的cer,crt或pem格式的文件,最多上传8个。文件名长度必须为1~256个字符,字符类型可以是中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”,且不能以“.”或空格开头。
缺省值:无
建议值:无
承载协议
可根据需要选择HTTP、HTTPS不认证对端或HTTPS认证对端来访问CA端,申请证书。
说明:鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
缺省值:HTTPS认证对端
建议值:HTTPS认证对端
端口
CMP协议对应的端口号。
如果选择的端口未开启,会提示“端口未开启”,用户无法通过该端口申请证书。
缺省值:26803
建议值:26803
是否更新TLS身份证书
- 如果当前CA服务中无身份证书,缺省值为“是”且不可配置。
- 如果当前CA服务中已存在身份证书,缺省值为“否”。可根据实际需求选择是否更新TLS身份证书。
根据实际需要选择。
证书模板
如果“是否更新TLS身份证书”选择“是”,需要选择证书模板。
根据实际需要选择模板。
使用者
根据选择的证书模板,界面显示对应需要填写的公共名称等使用者信息。
缺省值:无
建议值:无
- 单击“提交”。
- 选择是否立即重启服务。
- 在弹出的提示框中单击“立即重启”,依次单击“确定”,使供应商信任证书配置、端口配置、TLS身份证书配置生效。
- 在弹出的提示框中单击“稍后重启”,后续可在页面重启服务。
- 选择不配置CMP或创建国密CA时配置CMP但未配置供应商信任证书、不更新TLS身份证书,只提示配置成功。
- 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
- 在页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。
- 如果未重启服务,会导致供应商信任证书配置、端口配置、TLS身份证书配置不生效。
