You need to enable JavaScript to run this app.
导航
证书中心
  • 文档首页
    • /
  • 证书中心

创建私有证书

最近更新时间2023.09.21 10:27:10

首次发布时间2023.06.25 11:22:53

我的收藏

创建私有CA层次结构后,您就可以通过私有子CA为企业内部的终端实体签发私有证书。终端实体可以是用户、计算机、应用程序、服务、服务器、其他设备等。终端实体间使用私有证书实现身份认证、通信加密。

背景信息

私有证书按数量计费。您每创建一本私有证书,都需要支付对应的配置费用。详细计费说明,请参见私有CA计费说明

您可以选择以下支付方式:

  • 消耗私有证书资源包中的私有证书额度抵扣私有证书的配置费用。
    要使用该方式,您需要购买私有证书资源包。更多信息,请参见私有证书资源包
  • 从账户余额中扣除相应费用。
    使用该方式时,火山引擎默认从您的账户余额中扣除相应费用。在创建私有证书前,请确保您的账户余额充足,避免因无法支付导致操作失败。

前提条件

您已经创建了私有子CA。相关操作,请参见创建私有子CA

操作步骤

  1. 登录证书中心控制台

  2. 在左侧导航栏,选择 私有CA > 私有证书

  3. 私有证书 页面,单击 创建私有证书

  4. 创建私有证书 页面,完成相关参数的配置。

    区域配置项说明示例

    私有子CA信息

    选择私有子CA

    从下拉列表选择签发私有证书的私有子CA。
    只可以选择状态为 已签发 并且还没有到期的私有子CA。

    Volcengine Intermediate CA

    私有证书资源包

    是否消耗资源包

    选择是否消耗私有证书资源包中的额度来抵扣私有证书的配置费用。一个私有证书额度可抵扣一本私有证书的配置费用。
    如果您没有可用的私有证书额度,请先购买私有证书资源包

    私有证书信息

    CSR生成方式

    支持选择以下方式:

    • 自动:根据您提供的配置自动生成对应的 CSR

    • 手动:使用您手动生成的 CSR

    根据 CSR 生成方式不同,您需要配置的参数不同。

    自动

    私有证书名称(CN)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    为私有证书设置一个公用名称(Common Name)。该名称将会显示在私有证书的证书层次结构中。
    根据私有证书的使用对象,您可以为私有证书设置不同类型的名称。

    示例:

    • 如果私有证书用于内部服务,您可以将名称设置为服务的域名,如 example.com

    • 如果私有证书用于内部计算机、设备,您可以将名称设置为对应的 IP 地址,如 192.168.0.10

    • 如果私有证书用于企业员工,您可以将名称设置为员工的邮箱地址,如 zhangsan@example.com

    • 如果私有证书用于内部应用,您可以将名称设置为应用的 URI。

    volcengine.com

    企业名称(O)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    设置私有证书对应的组织的名称。您可以输入企业的英文名称,也可以输入企业营业执照上的中文名称。

    Volcengine

    部门(OU)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    设置私有证书对应的组织部门的名称。

    Security

    国家(C)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    选择私有证书对应的组织所在国家。

    中华人民共和国

    省份(ST)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    设置私有证书对应的组织所在省份。

    Beijing

    城市(L)

    只有当 CSR生成方式自动 时,您需要设置该参数。

    设置私有证书对应的组织所在城市。

    Beijing

    密钥算法

    只有当 CSR生成方式自动 时,您需要设置该参数。

    选择私有证书的密钥所使用的加密算法。可选项:RSAECCSM2

    RSA

    密钥强度

    只有当 CSR生成方式自动 时,您需要设置该参数。

    选择私有证书的密钥的强度。根据密钥算法不同,可选的密钥强度不同。

    • 密钥算法为 RSA 时,密钥强度的可选项包括:204830724096

    • 密钥算法为 ECC 时,密钥强度的可选项包括:P256P384P521

    • 密钥算法为 SM2 时,您无需选择密钥强度。密钥强度默认为 SMP256

    2048

    CSR文件内容

    只有当 CSR生成方式手动 时,您需要设置该参数。

    输入私有证书对应的 CSR。

    N/A

    签名哈希算法

    选择私有证书的签名哈希算法。根据密钥算法不同,可选的签名哈希算法不同。

    • 密钥算法为 RSAECC 时,签名哈希算法的可选项包括:SHA256SHA384SHA512

    • 密钥算法为 SM2 时,签名哈希算法固定为 SM3

    SHA256

    有效期

    选择私有证书的有效期。私有证书的有效期最小为 1 小时,且必须在私有子CA的有效期内。

    示例:
    假设私有子CA将于 10 天后到期,则私有证书的有效期最长为 10 天。

    1年

    备注为私有证书添加备注。test

    高级配置

    密钥用途(KU)

    选择私有证书中包含的密钥的用途。关于密钥用途的定义,请参考RFC5280中“Key Usage”部分的说明。

    • 允许多选。
    • 如果您没有设置密钥用途,那么密钥用途默认为 DigitalSignatureKeyEncipherment

    DigitalSignature

    扩展密钥用途(EKU)

    选择私有证书中包含的密钥的扩展用途。关于扩展用途的定义,请参考RFC5280中“Extended Key Usage”部分的说明。

    • 支持多选。
    • 如果您没有设置扩展用途,那么私有证书的数据结构中不包含该信息。

    ServerAuth

    证书备用名称(SAN)

    为私有证书设置一个或多个备用名称(Subject Alternative Name)。关于备用名称的定义,请参考RFC5280中“Subject Alternative Name”部分的说明。

    • 您可参考 私有证书名称(CN) 的说明来设置备用名称。
    • 备用名称允许设置多个。每输入一个备用名称后需要换行。

    1.XX.XX.1

  5. 单击 确认创建

私有证书创建成功后,您可以在私有证书列表查看刚刚创建的私有证书。此时,私有证书的状态为 已签发

后续步骤

您可以单击操作列下的 下载,将私有证书下载到本地。下载的证书文件是一个 .tar 压缩包。解压缩文件后,您将会获得以下文件:

  • certificate_chain.pem:证书链文件。

  • certificate.pem:证书文件。

  • private_key.key:证书私钥文件。

  • 以上文件的内容均采用 PEM 编码。

  • 只有当 CSR生成方式自动 时,您才会得到证书私钥文件。

接下来,您可以根据证书的用途将证书分发给使用者进行安装和使用。