最近更新时间:2023.09.21 10:27:10
首次发布时间:2023.06.25 11:22:53
创建私有CA层次结构后,您就可以通过私有子CA为企业内部的终端实体签发私有证书。终端实体可以是用户、计算机、应用程序、服务、服务器、其他设备等。终端实体间使用私有证书实现身份认证、通信加密。
私有证书按数量计费。您每创建一本私有证书,都需要支付对应的配置费用。详细计费说明,请参见私有CA计费说明。
您可以选择以下支付方式:
您已经创建了私有子CA。相关操作,请参见创建私有子CA。
登录证书中心控制台。
在左侧导航栏,选择 私有CA > 私有证书。
在 私有证书 页面,单击 创建私有证书。
在 创建私有证书 页面,完成相关参数的配置。
区域 | 配置项 | 说明 | 示例 |
---|---|---|---|
私有子CA信息 | 选择私有子CA | 从下拉列表选择签发私有证书的私有子CA。 | Volcengine Intermediate CA |
私有证书资源包 | 是否消耗资源包 | 选择是否消耗私有证书资源包中的额度来抵扣私有证书的配置费用。一个私有证书额度可抵扣一本私有证书的配置费用。 | 是 |
私有证书信息 | CSR生成方式 | 支持选择以下方式:
根据 CSR 生成方式不同,您需要配置的参数不同。 | 自动 |
私有证书名称(CN) |
为私有证书设置一个公用名称(Common Name)。该名称将会显示在私有证书的证书层次结构中。
| volcengine.com | |
企业名称(O) |
设置私有证书对应的组织的名称。您可以输入企业的英文名称,也可以输入企业营业执照上的中文名称。 | Volcengine | |
部门(OU) |
设置私有证书对应的组织部门的名称。 | Security | |
国家(C) |
选择私有证书对应的组织所在国家。 | 中华人民共和国 | |
省份(ST) |
设置私有证书对应的组织所在省份。 | Beijing | |
城市(L) |
设置私有证书对应的组织所在城市。 | Beijing | |
密钥算法 |
选择私有证书的密钥所使用的加密算法。可选项:RSA、ECC、SM2。 | RSA | |
密钥强度 |
选择私有证书的密钥的强度。根据密钥算法不同,可选的密钥强度不同。
| 2048 | |
CSR文件内容 |
输入私有证书对应的 CSR。 | N/A | |
签名哈希算法 | 选择私有证书的签名哈希算法。根据密钥算法不同,可选的签名哈希算法不同。
| SHA256 | |
有效期 | 选择私有证书的有效期。私有证书的有效期最小为 1 小时,且必须在私有子CA的有效期内。
| 1年 | |
备注 | 为私有证书添加备注。 | test | |
高级配置 | 密钥用途(KU) | 选择私有证书中包含的密钥的用途。关于密钥用途的定义,请参考RFC5280中“Key Usage”部分的说明。
| DigitalSignature |
扩展密钥用途(EKU) | 选择私有证书中包含的密钥的扩展用途。关于扩展用途的定义,请参考RFC5280中“Extended Key Usage”部分的说明。
| ServerAuth | |
证书备用名称(SAN) | 为私有证书设置一个或多个备用名称(Subject Alternative Name)。关于备用名称的定义,请参考RFC5280中“Subject Alternative Name”部分的说明。
| 1.XX.XX.1 |
单击 确认创建。
私有证书创建成功后,您可以在私有证书列表查看刚刚创建的私有证书。此时,私有证书的状态为 已签发。
您可以单击操作列下的 下载,将私有证书下载到本地。下载的证书文件是一个 .tar 压缩包。解压缩文件后,您将会获得以下文件:
certificate_chain.pem
:证书链文件。
certificate.pem
:证书文件。
private_key.key
:证书私钥文件。
以上文件的内容均采用 PEM 编码。
只有当 CSR生成方式 为 自动 时,您才会得到证书私钥文件。
接下来,您可以根据证书的用途将证书分发给使用者进行安装和使用。