管理私有根CA
最近更新时间:2024.04.19 16:29:26
首次发布时间:2023.06.25 11:22:53
本文介绍了在证书中心控制台管理已创建的私有根CA(简称“根CA”)的方法,具体包括:下载根CA证书、启用/停用根CA、吊销根CA、删除根CA。
说明
本文介绍的操作适用于在证书中心创建的私有根CA(不包含上传到证书中心进行管理的私有根CA)。
状态说明
私有根CA创建后,默认处于已签发状态并开始产生费用。私有根CA支持的所有状态如下表所示。
状态 | 说明 | 当前状态下是否产生费用 | 当前状态下允许的操作 |
|---|---|---|---|
已签发 | 一旦创建,私有根CA默认处于“已签发”状态。 | 是 | 下载、停用、吊销 |
已停用 | 当您手动停用私有根CA后,私有根CA的状态将变成“已停用”。如果您手动启用私有根CA,那么私有根CA可恢复到“已签发”状态。 | 否 | 启用 |
已冻结 | 当您的账户发生欠费时,私有根CA的状态将变成“已冻结”。如果您补还欠费,那么私有根CA可恢复到“已签发”状态。 | 否 | 无 |
已到期 | 当私有根CA到期后,它的状态将变成“已到期”。 | 否 | 删除 |
已吊销 | 当您手动吊销私有根CA后,私有根CA的状态将变成“已吊销”。 | 否 | 删除 |
不同状态间的流转关系如下图所示。
访问私有根CA页面
登录证书中心控制台,然后在左侧导航栏选择 私有CA > 私有根CA。
接下来,您可以在 私有根CA 页面管理私有根CA。
下载私有根CA证书
您可以将私有根CA证书下载到本地计算机。
前提条件
私有根CA的状态是 已签发。
操作步骤
- 在 私有根CA 页面,找到要操作的私有根CA,单击 操作 列的 下载。
私有根CA的证书压缩包将被下载到浏览器的默认下载路径。 - 解压缩证书压缩包。
完成解压缩后,您将获得证书文件。证书文件是 .pem 格式。
启用私有根CA
如果您希望使用某个已被停用的私有根CA,您需要先启用它。
前提条件
私有根CA的状态是 已停用。
操作步骤
在 私有根CA 页面,找到要启用的私有根CA,单击 操作 列的 启用。
停用私有根CA
如果您希望暂停使用某个私有根CA,您可以停用它。
私有根CA在停用状态下不会产生费用,并且相关配置会被保留。您可以在需要时重新启用已停用的私有根CA。
操作须知
停用某个私有根CA会带来以下影响:
- 您将无法继续使用与该私有根CA关联的CA层次结构来签发私有证书。
- 通过对应CA层次结构签发的私有证书将无法正常使用。这是因为 CRL、OCSP 服务被关闭了,导致已签发证书的吊销状态无法被查询,证书使用者无法验证证书的有效性。
前提条件
- 私有根CA的状态是 已签发。
- 私有根CA下没有处于 已签发 状态的私有子CA。
操作步骤
- 在 私有根CA 页面,找到要停用的私有根CA,单击 操作 列的 停用。
- 在弹出的对话框,勾选 已确认停用,然后单击 停用。
吊销私有根CA
当您发现某个私有根CA存在安全隐患时(如私钥被泄露等),建议您及时将它吊销。
私有根CA被吊销后将不再产生费用。吊销私有根CA后,您将无法恢复它。如需继续使用私有根CA,您只能创建新的私有根CA。
操作须知
吊销某个私有根CA会带来以下影响:
- 对应的私有CA证书在组织内部不再被信任。
- 通过对应CA层次结构签发的私有证书无法继续使用。
注意
在进行吊销操作之前,您应详细规划吊销流程并评估对业务的潜在影响。您可以联系证书中心技术支持帮助您评估吊销的风险。
前提条件
- 私有根CA的状态是 已签发。
- 私有根CA下没有生效中的私有子CA,包含以下情形:
- 私有根CA下没有私有子CA。
- 私有根CA下的私有子CA处于以下状态之一:已吊销、已到期。
操作步骤
- 在 私有根CA 页面,找到要吊销的私有根CA,单击 操作 列的 吊销。
- 在弹出的对话框,输入吊销当前证书的 理由,然后单击吊销。
删除私有根CA
如果私有根CA已经失效(如已被吊销、已到期),您可以将私有根CA从证书中心控制台删除。
前提条件
私有根CA处于以下状态之一: 已吊销、已到期。
操作步骤
- 在 私有根CA 页面,找到要删除的私有根CA,单击 操作 列的 删除。
- 在弹出的对话框,勾选 已确认删除,然后单击 删除。