本文介绍了在证书中心控制台管理私有根CA（简称“根CA”）的方法，具体包括：下载根CA证书、启用/停用根CA、吊销根CA、删除根CA。

背景信息

根CA包含两种类型：在证书中心创建的根CA、上传到证书中心进行托管的根CA。不同类型的根CA支持的操作不同。

• 对于在证书中心创建的根CA，支持的操作包括：下载、停用、启用、吊销、删除。
• 对于上传的根CA，支持的操作只包括：下载。

  说明

  如需删除上传的根CA，请提交工单。

CA状态说明

• 在证书中心创建的根CA
  根CA创建后，默认处于“已签发”状态并开始产生费用。根CA支持的所有状态如下表所示。

  状态	说明	当前状态下是否产生费用	当前状态下允许的操作
  已签发	一旦创建，根CA默认处于“已签发”状态。	是	下载、停用、吊销
  已停用	当您手动停用根CA后，根CA的状态将变成“已停用”。如果您手动启用根CA，那么根CA可恢复到“已签发”状态。	否	启用
  已冻结	当您的火山引擎账户发生欠费时，根CA的状态将变成“已冻结”。如果您补还欠费，那么根CA可恢复到“已签发”状态。	否	无
  已到期	当根CA到期后，它的状态将变成“已到期”。	否	删除
  已吊销	当您手动吊销根CA后，根CA的状态将变成“已吊销”。	否	删除

  不同状态间的流转如下图所示。
  

• 上传的根CA
  上传的根CA的状态默认为“已签发”（不会产生费用）。

访问私有根CA页面

登录证书中心控制台，然后在左侧导航栏选择 私有CA > 私有根CA。
接下来，您可以在 私有根CA 页面管理根CA。

下载根CA证书

您可以将根CA证书下载到本地计算机。

前提条件

根CA的状态是 已签发。

操作步骤

1. 在 私有根CA 页面，找到要操作的根CA，单击 操作 列的 下载。
   根CA的证书压缩包将被下载到浏览器的默认下载路径。
2. 解压缩证书压缩包。
   完成解压缩后，您将获得证书文件。证书文件是 .pem 格式。

启用根CA

如果您希望使用某个已被停用的根CA，您需要先启用它。

前提条件

根CA的状态是 已停用。

操作步骤

在 私有根CA 页面，找到要启用的根CA，单击 操作 列的 启用。

停用根CA

如果您希望暂停使用某个根CA，您可以停用它。
根CA在停用状态下不会产生费用。您可以在需要时重新启用已停用的根CA。

操作须知

停用某个根CA会带来以下影响：

• 您将无法继续使用与该根CA关联的CA层次结构来签发私有证书。
• 通过对应CA层次结构签发的私有证书将无法正常使用，意味着服务或客户端将不再信任这些证书，可能影响业务运行。这是因为CRL、OCSP服务被关闭了，导致已签发证书的吊销状态无法被查询，服务或客户端无法验证证书的有效性。

前提条件

• 根CA的状态是 已签发。
• 根CA下没有处于 已签发 状态的子CA。

操作步骤

1. 在 私有根CA 页面，找到要停用的根CA，单击 操作 列的 停用。
2. 在弹出的对话框，勾选 已确认停用，然后单击 停用。

吊销根CA

当您发现某个根CA存在安全隐患时（如私钥被泄露等），建议您及时将它吊销。
根CA被吊销后将不再产生费用。吊销根CA后，您将无法恢复它。如需继续使用根CA，您只能创建新的根CA。

操作须知

吊销某个根CA会带来以下影响：

• 对应的私有CA证书在组织内部不再被信任。
• 通过对应CA层次结构签发的私有证书无法继续使用。

前提条件

• 根CA的状态是 已签发。
• 根CA下没有生效中的子CA，包含以下情形：
  • 根CA下没有子CA。
  • 根CA下的子CA处于以下状态之一：已吊销、已到期。

操作步骤

1. 在 私有根CA 页面，找到要吊销的根CA，单击 操作 列的 吊销。
2. 在弹出的对话框，输入吊销当前证书的 理由，然后单击吊销。

删除根CA

如果根CA已经失效（如已被吊销、已到期），您可以将根CA从证书中心控制台删除。

前提条件

根CA处于以下状态之一： 已吊销、已到期。

操作步骤

1. 在 私有根CA 页面，找到要删除的根CA，单击 操作 列的 删除。
2. 在弹出的对话框，勾选 已确认删除，然后单击 删除。