文档首页/ 云桌面 Workspace/ 用户指南(管理员)/ 租户配置/ 基础配置/ 基于证书的身份验证/ 管理基于证书的身份验证/ 创建CA证书
更新时间:2025-11-11 GMT+08:00
查看PDF
分享

创建CA证书

操作场景

基于证书的身份验证功能依赖CA证书体系来签发、管理与验证数字证书,从而确保网络通信、身份认证及数据交换的安全。本章节提供以下两种创建方式,请根据实际业务需求选择其一。

  • 每个租户最多可创建3张CA证书,且这些证书专用基于证书的身份验证。
  • 证书私钥轮转说明:
    • 公私密钥对有时间有效期,用于签发智能卡认证的用户证书。
    • 处于有效期公私密钥对会分配给用户,一个密钥对只会分配给一个用户。
    • 公私密钥对临近超期时,用户会重新分配一个处于有效期的密钥对。

创建根CA证书

  1. 登录管理控制台
  2. 在导航中依次选择“租户配置 > 基础配置”,进入基础配置页面。
  3. 在基于证书的身份验证下单击“开启”,进入基于证书的身份验证页面。
  4. 在私有CA证书右侧单击“创建CA证书”,进入“创建CA证书”页面。
  5. 配置证书基本信息,如表1所示。

    表1 CA证书配置信息

    配置类型

    配置参数

    配置说明

    取值样例

    基本信息

    CA类型

    根CA:在Workspace管理控制台上创建。

    根CA

    密钥算法

    基于证书的身份验证密钥算法支持RSA3072、RSA4096,签名哈希算法支持SHA256、SHA512。

    RSA 3072

    签名哈希算法

    数字签名的一种组合技术,用以确保数据的完整性和来源真实性,由哈希算法(对数据生成固定长度的摘要,如SHA256)和签名算法(用私钥对哈希值加密生成签名,如:RSA)组成。

    SHA256

    有效期

    CA证书的有效时限,范围为10~30年

    10年

    证书唯一标识名称(DN)

    CA名称(CN)

    CA证书的名称。

    pca-xxxx

    国家/地区

    证书颁发的国家/地区。

    CN/US

    省份

    证书颁发的省份。

    -

    城市

    证书颁发的城市。

    -

    公司名称(0)

    颁发证书使用的公司名称。

    -

    部门名称(OU)

    颁发证书使用的部门名称。

    IT

    证书吊销配置

    CRL分发布

    CRL 分发点(CRL Distribution Point ,简称CDP) 是数字证书中包含的一个或多个URL 地址,用于指明客户端可以从哪里下载最新的证书吊销列表(CRL),以检查证书是否已被撤销。

    CRL分发点的URL地址:https://smartcard.域名.com/smartcard.crl

    CRL更新周期

    为防止客户端可能使用过期的CRL,需要定期更新CRL,范围为3650~10950天。

    3650天

  6. 单击“下一步”,确认配置的CA证书信息。
  7. 单击“确定”。

    有关CA证书的管理详情,请参见证书配置章节。

创建子CA证书

  1. 登录管理控制台
  2. 在导航中依次选择“租户配置 > 基础配置”,进入基础配置页面。
  3. 在基于证书的身份验证下单击“开启”,进入基于证书的身份验证页面。
  4. 在私有CA证书右侧单击“创建CA证书”,进入“创建CA证书”页面。
  5. 配置证书基本信息,如表2所示。

    表2 CA证书配置信息

    配置类型

    配置参数

    配置说明

    取值样例

    基本信息

    CA类型

    子CA:基于企业自有的PKI系统签发。

    子CA

    密钥算法

    基于证书的身份验证密钥算法支持RSA3072、RSA4096,签名哈希算法支持SHA256、SHA512。

    RSA 3072

    签名哈希算法

    数字签名的一种组合技术,用以确保数据的完整性和来源真实性,由哈希算法(对数据生成固定长度的摘要,如SHA256)和签名算法(用私钥对哈希值加密生成签名,如:RSA)组成。

    SHA256

    有效期

    CA证书的有效时限,范围为10~30年

    10年

    证书唯一标识名称(DN)

    CA名称(CN)

    CA证书的名称。

    pca-xxxx

    国家/地区

    证书颁发的国家/地区。

    CN/US

    省份

    证书颁发的省份。

    -

    城市

    证书颁发的城市。

    -

    公司名称(0)

    颁发证书使用的公司名称。

    -

    部门名称(OU)

    颁发证书使用的部门名称。

    IT

    证书吊销配置

    CRL分发布

    CRL 分发点(CRL Distribution Point ,简称CDP) 是数字证书中包含的一个或多个URL 地址,用于指明客户端可以从哪里下载最新的证书吊销列表(CRL),以检查证书是否已被撤销。

    CRL分发点的URL地址:https://smartcard.域名.com/smartcard.crl

    CRL更新周期

    为防止客户端可能使用过期的CRL,需要定期更新CRL,范围为3650~10950天。

    3650天

  6. 单击“下一步”,确认配置的CA信息。

    1. 在“CA的CSR”下单击“导出CSR为文件”,根据提示保存“cert.csr”文件。
    2. 将“cert.csr”文件提供给管理员,由管理员在企业自有的PKI证书管理系统进行签发。

      双击已签发的证书,单击“详细信息”进行查看,确保证书包含如下图所示的字段。

    3. 获取管理员签发完成的的证书文件,将文件内容拷贝至“导入外部CA签发的证书”的输入框中。
      图1 导入证书内容

    4. 单击“确定”。

      管理员提供的证书仅支持“.pem”编码格式。

  7. 单击“确定”。

    有关CA证书的管理详情,请参见证书配置章节。

相关文档