创建私有根CA

本文介绍了在私有CA服务控制台创建私有根CA的方法。

背景信息

开通私有CA服务后，您可以定义企业的私有CA层级结构，用来签发私有证书。私有CA层级结构包含以下两个层级：

• 私有根CA（简称“根CA”）：

  • 根CA为自己签发根CA证书。根CA证书是企业内部信任链的起点。
  • 根CA也可以为子CA签发子CA证书。通过根CA签发的子CA证书受信于该根CA。

• 私有子CA（简称“子CA”）：

  • 子CA只隶属于一个根CA。一个根CA下可以包含多个子CA。
  • 子CA可以为企业内的对象（如内部用户、计算机、服务等）签发私有证书。通过子CA签发的私有证书受信于该子CA。

使用私有证书服务时，您必须先创建私有CA层次结构。一个私有CA层次结构包含至少一个根CA和一个子CA。您也可以创建多个私有CA层次结构。

前提条件

• 您已经开通了私有CA服务。相关操作，请参见开通私有CA服务。

• 您的火山引擎账户余额不少于 100 元。

  注意

  私有根CA采用按量计费方式计费。您必须保证火山引擎账户余额充足，才可以创建私有根CA。私有根CA创建后即开始计费。详细计费说明，请参见私有CA计费说明。

操作步骤

1. 登录证书中心控制台。

2. 在左侧导航栏，单击 私有CA > 私有根CA。

3. 在 私有根CA 页面，单击 创建私有根CA。

4. 在 创建私有根CA 页面，根据以下配置说明完成私有根CA的配置。

   

   区域	配置项	说明	示例
   私有根CA信息	私有根CA名称（CN）	为私有根CA设置一个公用名称（Common Name）。该名称将会显示在私有证书的证书层次结构中。	Volcengine Root CA G1
   	企业名称（O）	设置私有根CA对应的组织的名称。	Volcengine
   	部门（OU）	设置私有根CA对应的组织中部门的名称。	Security
   	国家（C）	选择私有根CA对应的组织所在国家。	中华人民共和国
   	省份（ST）	设置私有根CA对应的组织所在省份。	Beijing
   	城市（L）	设置私有根CA对应的组织所在城市。	Beijing
   	密钥算法	选择私有根CA的密钥所使用的加密算法。可选项：RSA、ECC、SM2。	RSA
   	密钥强度	选择私有根CA的密钥的强度。根据密钥算法不同，可选的密钥强度不同。 密钥算法为 RSA 时，密钥强度的可选项包括：2048、3072、4096。 密钥算法为 ECC 时，密钥强度的可选项包括：P256、P384、P521。 密钥算法为 SM2 时，您无需选择密钥强度。密钥强度默认为 SMP256。	2048
   	签名哈希算法	选择私有根CA的签名哈希算法。根据密钥算法及强度不同，可选的签名哈希算法不同。 密钥算法为 RSA 时，签名哈希算法的可选项包括：SHA256、SHA384、SHA512。 密钥算法为 ECC 时，签名哈希算法与密钥强度有关。 密钥强度为 P256 时，签名哈希算法固定为 SHA256。 密钥强度为 P384 时，签名哈希算法固定为 SHA384。 密钥强度为 P521 时，签名哈希算法固定为 SHA512。 密钥算法为 SM2 时，签名哈希算法固定为 SM3。	SHA256
   	有效期	选择私有根CA的有效期。私有根CA的有效期最小为 2 天，最长为 30 年。	10年
   联系信息	联系人姓名	设置私有根CA的联系人，方便您接收到证书到期轮换等通知消息。	张三
   	联系人邮箱	设置联系人的邮箱地址。	zhangsan@example.com
   	联系人手机	设置联系人的手机号码。	131****1111
   	备注	为联系人设置备注。	企业法人

5. 单击 确认创建。

私有根CA创建成功后，您可以在私有根CA列表查看刚刚创建的根CA。新创建的根CA默认启用并开始计费。此时，根CA的状态为 已签发。

后续操作

接下来您还需要在私有根CA下添加私有子CA。相关操作，请参见创建私有子CA。