You need to enable JavaScript to run this app.
导航
证书中心
  • 文档首页
    • /证书中心/私有CA/用户指南/私有根CA/管理私有根CA
管理私有根CA
最近更新时间:2025.05.14 10:17:51首次发布时间:2023.06.25 11:22:53
我的收藏
有用
有用
无用
无用

本文介绍了在证书中心控制台管理私有根CA(简称“根CA”)的方法,具体包括:下载根CA证书、启用/停用根CA、吊销根CA、删除根CA。

背景信息

根CA包含两种类型:在证书中心创建的根CA、上传到证书中心进行托管的根CA。不同类型的根CA支持的状态和操作不同。

  • 在证书中心创建的根CA
    根CA创建后,默认处于“已签发”状态并开始产生费用。根CA支持的所有状态如下表所示。

    状态说明当前状态下是否产生费用当前状态下允许的操作
    已签发一旦创建,根CA默认处于“已签发”状态。下载、停用、吊销
    已停用当您手动停用根CA后,根CA的状态将变成“已停用”。如果您手动启用根CA,那么根CA可恢复到“已签发”状态。启用
    已冻结当您的火山引擎账户发生欠费时,根CA的状态将变成“已冻结”。如果您补还欠费,那么根CA可恢复到“已签发”状态。
    已到期当根CA到期后,它的状态将变成“已到期”。删除
    已吊销当您手动吊销根CA后,根CA的状态将变成“已吊销”。删除

    不同状态间的流转如下图所示。
    图片

  • 上传的根CA
    上传的根CA的状态默认为“已签发”(不会产生费用)。支持的操作只包括:下载。

    说明

    如需删除上传的根CA,请提交工单

访问私有根CA页面

登录证书中心控制台,然后在左侧导航栏选择 私有CA > 私有根CA

接下来,您可以在 私有根CA 页面管理根CA。

查看根CA证书详情

  1. 私有根CA 页面,找到要查看的根CA,单击根CA的名称。

  2. 在证书详情页,查看根CA证书的 基本信息关联云资源主体信息联系人信息证书信息

    • 基本信息 包含根CA证书的以下信息:名称(CN)、ID、序列号、证书来源(来自“证书购买”或“上传托管”)、密钥算法、签名哈希算法、(签发的)私有子CA、有效期、创建时间、到期时间、备注。

    • 关联云资源 展示了根CA证书在火山引擎云产品上的部署情况。

    • 主体信息 包含根CA证书的以下信息:企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L)。
    • 联系人信息 包含根CA证书的以下信息:联系人姓名、联系人手机、联系人邮箱。

      若“证书来源”是“上传托管”,则不支持联系人信息。

    • 证书信息 展示了PEM格式的证书内容。

下载根CA证书

您可以将根CA证书下载到本地计算机。

前提条件

根CA的状态是 已签发

操作步骤

  1. 私有根CA 页面,找到要操作的根CA,单击 操作 列的 下载
    根CA的证书压缩包将被下载到浏览器的默认下载路径。
  2. 解压缩证书压缩包。
    完成解压缩后,您将获得证书文件。证书文件是 .pem 格式。

启用根CA

如果希望使用某个已被停用的根CA,您需要先启用它。

前提条件

根CA是在证书中心创建的(证书来源证书购买),且状态是 已停用

操作步骤

私有根CA 页面,找到要启用的根CA,单击 操作 列的 启用

停用根CA

如果您希望暂停使用某个根CA,您可以停用它。根CA在停用状态下不会产生费用。您可以在需要时重新启用已停用的根CA。

操作影响

停用某个根CA会带来以下影响:

  • 您将无法继续使用与该根CA关联的CA层次结构来签发私有证书。
  • 通过对应CA层次结构签发的私有证书将无法正常使用,意味着服务或客户端将不再信任这些证书,可能影响业务运行。这是因为CRL、OCSP服务被关闭了,导致已签发证书的吊销状态无法被查询,服务或客户端无法验证证书的有效性。

前提条件

  • 根CA是在证书中心创建的(证书来源证书购买),且状态是 已签发
  • 根CA下没有处于 已签发 状态的子CA。

操作步骤

  1. 私有根CA 页面,找到要停用的根CA,单击 操作 列的 停用
  2. 在弹出的对话框,勾选 已确认停用,然后单击 停用

吊销根CA

当您发现某个根CA存在安全隐患时(如私钥被泄露等),建议您及时将它吊销。根CA被吊销后将不再产生费用。吊销根CA后,您将无法恢复它。如需继续使用根CA,您只能创建新的根CA。

操作影响

吊销某个根CA会带来以下影响:

  • 对应的私有CA证书在组织内部不再被信任。
  • 通过对应CA层次结构签发的私有证书无法继续使用。

注意

在进行吊销操作之前,您应详细规划吊销流程并评估对业务的潜在影响。如需协助评估吊销风险,您可以提交工单联系证书中心技术支持。

前提条件

  • 根CA是在证书中心创建的(证书来源证书购买),且状态是 已签发
  • 根CA下没有生效中的子CA,包含以下情形:
    • 根CA下没有子CA。
    • 根CA下的子CA处于以下状态之一:已吊销已到期

操作步骤

  1. 私有根CA 页面,找到要吊销的根CA,单击 操作 列的 吊销
  2. 在弹出的对话框,输入吊销当前证书的 理由,然后单击吊销

删除根CA

如果根CA已经失效(如已被吊销、已到期),您可以将根CA从证书中心控制台删除。

前提条件

根CA是在证书中心创建的(证书来源证书购买),且处于以下状态之一: 已吊销已到期

操作步骤

  1. 私有根CA 页面,找到要删除的根CA,单击 操作 列的 删除
  2. 在弹出的对话框,勾选 已确认删除,然后单击 删除