私有子CA创建成功后，您可以使用私有子CA为企业内部的终端实体签发私有证书。终端实体可以是用户、计算机、应用程序、服务、服务器、其他设备等。终端实体之间使用私有证书实现身份认证、通信加密。

背景信息

私有证书按数量计费。每创建一本私有证书，都需要支付相应配置费用。详细计费说明，请参见私有CA计费说明。
您可以选择以下支付方式：

• 消耗私有证书资源包中的私有证书额度来抵扣私有证书的配置费用。
  要使用该方式，您需要先购买私有证书资源包。更多信息，请参见私有证书资源包。
• 从您的火山引擎账户余额中扣除相应费用。
  若使用该方式，请确保您的账户余额充足，避免因余额不足导致私有证书创建失败。

前提条件

您已经创建了私有子CA。相关操作，请参见创建私有子CA。

操作步骤

1. 登录证书中心控制台。

2. 在左侧导航栏，选择 私有CA > 私有证书。

3. 在 私有证书 页面，单击 创建私有证书。

4. 在 创建私有证书 页面，完成相关参数的配置。

   类别	配置项	说明	示例
   私有子CA信息	选择私有子CA	从下拉列表选择一个私有子CA，用来签发私有证书。 只有从证书中心购买的，并且状态为 已签发 的私有子CA允许被选择。	Volcengine Intermediate CA
   私有证书资源包	是否消耗资源包	选择是否消耗私有证书资源包中的额度来抵扣私有证书的配置费用。一个私有证书额度可抵扣一本私有证书的配置费用。 如果没有可用的私有证书额度，请先购买私有证书资源包。	是
   私有证书信息	CSR生成方式	选择一种方式来生成证书签名请求（CSR）。可选项： 自动：您提供证书请求信息，由证书中心自动为您生成CSR。 手动：您自行生成并提供CSR。 根据您选择的 CSR生成方式 不同，需要配置的其他参数不同： 当 CSR生成方式 为 自动 时，需要配置的其他参数请参见自动生成CSR。 当 CSR生成方式 为 手动 时，需要配置的其他参数请参见手动生成CSR。	自动

   • 自动生成CSR

     类别	配置项	说明	示例
     私有证书信息	私有证书名称（CN）	为私有证书设置一个公用名称（Common Name）。该名称将会显示在私有证书的证书层次结构中。 根据私有证书的使用者，您可以为私有证书设置不同类型的公用名称。 示例： 如果私有证书签发给内部服务使用，您可以将公用名称设置为服务的域名，如example.com。 如果私有证书签发给内部计算机或设备使用，您可以将公用名称设置为对应的IP地址，如192.168.2.1。 如果私有证书签发给企业员工使用，您可以将名称设置为员工的邮箱地址，如zhangsan@example.com。 如果私有证书签发给内部应用使用，您可以将名称设置为应用的URI，如https://www.example.com。	example.com
     	企业名称（O）	设置私有证书所属企业的名称。	Volcengine
     	部门（OU）	设置私有证书所属部门的名称。	Security
     	国家（C）	选择私有证书所属企业的国家。	中华人民共和国
     	省份（ST）	设置私有证书所属企业的省份。	Beijing
     	城市（L）	设置私有证书所属企业的城市。	Beijing
     	密钥算法	为私有证书选择密钥算法。根据子CA的密钥算法不同，私有证书可以选择的密钥算法不同： 如果子CA的密钥算法为 RSA 或 ECC，那么私有证书可以选择的密钥算法包括：RSA、ECC。 如果子CA的密钥算法为 SM2，那么私有证书的密钥算法只能是 SM2。	RSA
     	密钥强度	为私有证书选择密钥强度。根据密钥算法不同，可以选择的密钥强度不同： 当 密钥算法 为 RSA 时，可以选择的密钥强度包括：2048、3072、4096。 当 密钥算法 为 ECC 时，可以选择的密钥强度包括：P256、P384、P521。 当 密钥算法 为 SM2 时，您无需选择密钥强度。密钥强度默认为 SMP256。	2048
     	签名哈希算法	为私有证书选择签名哈希算法。根据子CA的密钥算法不同，私有证书可以选择的签名哈希算法不同： 如果子CA的密钥算法为 RSA，那么私有证书可以选择的签名哈希算法包括：SHA256、SHA384、SHA512。 如果子CA的密钥算法为 ECC，那么私有证书的签名哈希算法与子CA的签名哈希算法相同。 如果子CA的密钥算法为 SM2，那么私有证书的签名哈希算法只能是 SM3。	SHA256
     	有效期	为私有证书选择有效期。私有证书的有效期必须在私有子CA的有效期内，最小为1小时，最大为30年。 示例： 假设私有子CA将于10天后到期，则私有证书的有效期不能超过10天。	1年
     	备注	为私有证书添加备注。	test
     高级配置	密钥用途（KU）	为私有证书的公钥选择一个或多个用途（KeyUsage）。默认私有证书中不包含KeyUsage信息。如果当您设置了该参数，则私有证书中包含您指定的KeyUsage。可选项： digitalSignature：数字签名 nonRepudiation：防抵赖 keyEncipherment：密钥加密 dataEncipherment：数据加密 keyAgreement：密钥协商 keyCertSign：证书签名 cRLSign：CRL签名 encipherOnly：仅加密 decipherOnly：仅解密 根据RFC5280规定，符合标准的CA需要在一些有专门用途的公钥证书中包含KeyUsage扩展。专门用途指用于验证其他公钥证书或CRL的数字签名。私有证书一般无此限制。您可以根据需要选择是否使用该扩展。	DigitalSignature
     	扩展密钥用途（EKU）	为私有证书的公钥选择一个或多个扩展用途（ExtendedKeyUsage）。扩展用途是对密钥用途的扩展。默认私有证书中不包含ExtendedKeyUsage信息。如果当您设置了该参数，则私有证书中包含您指定的ExtendedKeyUsage。可选项： serverAuth：服务器认证 clientAuth：客户端认证 codeSigning：代码签名 emailProtection：邮件保护 timeStamping：将一个对象的哈希值绑定到时间 OCSPSigning：OCSP响应签名 使用证书的应用程序可能要求ExtendedKeyUsage扩展必须存在，并且必须指示特定用途才能使证书被该应用程序接受。您可以根据实际需要选择是否使用该扩展。 更多信息，请参考RFC5280中“Extended Key Usage”部分的说明。	ServerAuth
     	证书备用名称（SAN）	为私有证书设置一个或多个备用名称（Subject Alternative Name）。备用名称允许将此证书绑定到除公用名称（CommonName）以外的其他身份上。 您可参考 私有证书名称（CN） 的说明来设置备用名称。 备用名称允许设置多个。每输入一个备用名称后需要换行。 更多信息，请参考RFC5280中“Subject Alternative Name”部分的说明。	www.example.com

   • 手动生成CSR

     类别	配置项	说明	示例
     私有证书信息	CSR文件内容	输入证书签名请求（CSR）的内容。	N/A
     	签名哈希算法	为私有证书选择签名哈希算法。根据子CA的密钥算法不同，私有证书可以选择的签名哈希算法不同： 如果子CA的密钥算法为 RSA，那么私有证书可以选择的签名哈希算法包括：SHA256、SHA384、SHA512。 如果子CA的密钥算法为 ECC，那么私有证书的签名哈希算法与子CA的签名哈希算法相同。 如果子CA的密钥算法为 SM2，那么私有证书的签名哈希算法只能是 SM3。	SHA256
     	有效期	为私有证书选择有效期。私有证书的有效期必须在私有子CA的有效期内，最小为1小时。 示例： 假设私有子CA将于10天后到期，则私有证书的有效期不能超过10天。	1年
     	备注	为私有证书添加备注。	test

5. 单击 确认创建。

私有证书创建成功后，您可以在私有证书列表查看刚刚创建的私有证书。此时，私有证书的状态为 已签发。

后续步骤

您可以单击 操作 列的 下载，将私有证书下载到本地。下载的证书文件是一个压缩包（.tar）。解压缩后，您将会获得以下文件（所有文件的内容均为PEM格式）：

• certificate_chain.pem：证书链文件。
• certificate.pem：证书文件。
• private_key.key：证书私钥文件。
  只有当 CSR生成方式 为 自动 时，您才会得到证书私钥文件。

接下来，您可以根据证书的用途将证书分发给使用者进行安装和使用。