本文介绍了在私有CA服务控制台创建私有根CA的方法。

背景信息

开通私有CA服务后，您可以为企业定义私有CA层次结构，用来签发私有证书。私有CA层次结构包含以下两个层次：

• 私有根CA（简称“根CA”）：
  • 根CA为自己签发根CA证书。根CA证书是企业内部信任链的起点。
  • 根CA也可以为子CA签发子CA证书。通过根CA签发的子CA证书受信于该根CA。
• 私有子CA（简称“子CA”）：
  • 一个子CA只隶属于一个根CA。一个根CA下可以包含多个子CA。
  • 子CA可以为企业内的终端实体（如用户、计算机、服务等）签发私有证书。通过子CA签发的私有证书受信于该子CA。

使用私有CA服务时，您必须先创建私有CA层次结构。可以参考以下方式：

• 方式一：创建一个根CA，并在根CA下创建一个或多个子CA。
• 方式二：创建多个根CA，在每个根CA下分别创建子CA。

前提条件

• 您已经开通了私有CA服务。相关操作，请参见开通私有CA服务。
• 您的火山引擎账户余额不少于 100 元。

  说明

  根CA采用”按量计费“方式计费。您必须保证火山引擎账户余额充足，才可以创建根CA。根CA创建后即开始产生费用。详细计费说明，请参见私有CA计费说明。

操作步骤

1. 登录证书中心控制台。

2. 在左侧导航栏，单击 私有CA > 私有根CA。

3. 在 私有根CA 页面，单击 创建私有根CA。

4. 在 创建私有根CA 页面，根据以下配置说明完成私有根CA的配置。
   

   区域	配置项	说明	示例
   私有根CA信息	私有根CA名称（CN）	为根CA设置一个公用名称（Common Name）。该名称将会显示在私有证书的证书层次结构中。	Volcengine Root CA
   	企业名称（O）	设置根CA所属企业的名称。	Volcengine
   	部门（OU）	设置根CA所属部门的名称。	Security
   	国家（C）	选择根CA所属企业的国家。	中华人民共和国
   	省份（ST）	设置根CA所属企业的省份。	Beijing
   	城市（L）	设置根CA所属企业的城市。	Beijing
   	密钥算法	为根CA证书选择密钥算法。可选项：RSA、ECC、SM2。	RSA
   	密钥强度	为根CA证书选择密钥强度。根据密钥算法不同，可以选择的密钥强度不同： 密钥算法为 RSA 时，可以选择的密钥强度包括：2048、3072、4096。 密钥算法为 ECC 时，可以选择的密钥强度包括：P256、P384、P521。 密钥算法为 SM2 时，您无需选择密钥强度。密钥强度默认为 SMP256。	2048
   	签名哈希算法	选择根CA的签名哈希算法。根据密钥算法及强度不同，可以选择的签名哈希算法不同： 密钥算法为 RSA 时，可以选择的签名哈希算法包括：SHA256、SHA384、SHA512。 密钥算法为 ECC 时，签名哈希算法取决于密钥强度： 密钥强度为 P256 时，签名哈希算法只能是 SHA256。 密钥强度为 P384 时，签名哈希算法只能是 SHA384。 密钥强度为 P521 时，签名哈希算法只能是 SHA512。 密钥算法为 SM2 时，签名哈希算法只能是 SM3。	SHA256
   	有效期	为根CA选择有效期。根CA的有效期最短为2天，最长为30年。	10年
   联系信息	联系人姓名	设置根CA的联系人，方便您接收到证书到期等通知。	张三
   	联系人邮箱	设置联系人的邮箱地址。	zhangsan@example.com
   	联系人手机	设置联系人的手机号码。	131****1111
   	备注	为联系人设置备注。	企业法人

5. 单击 确认创建。

根CA创建成功后，您可以在根CA列表查看刚刚创建的根CA。新创建的根CA默认启用并开始产生费用。此时，根CA的状态为 已签发。

后续操作

接下来您还需要在根CA下创建子CA，以完成私有CA层次结构的搭建。相关操作，请参见创建私有子CA。