You need to enable JavaScript to run this app.
导航
证书中心
  • 文档首页
    • /证书中心/私有CA/用户指南/私有子CA/创建私有子CA
创建私有子CA
最近更新时间:2024.05.31 10:54:45首次发布时间:2023.06.25 11:22:53
我的收藏

本文介绍了在私有CA服务控制台创建私有子CA的方法。

背景信息

创建私有根CA后,您可以在私有根CA(简称“根CA”)下添加一个或多个私有子CA(简称“子CA”)。根CA和子CA共同构成企业的私有CA层级结构。您可以使用子CA为企业内的终端实体(如内部用户、计算机、服务等)签发私有证书。

前提条件

  • 您已经创建了根CA。相关操作,请参见创建私有根CA
  • 确保您的火山引擎账户余额不少于 100 元。

    说明

    子CA采用“按量计费”方式计费。您必须保证火山引擎账户余额充足,才可以创建子CA。子CA创建后即开始产生费用。详细计费说明,请参见私有CA计费说明

操作步骤

  1. 登录证书中心控制台

  2. 在左侧导航栏,选择 私有CA > 私有子CA

  3. 私有子CA 页面,单击 创建私有子CA

  4. 创建私有子CA 页面,根据以下配置说明完成子CA的配置。
    图片

    区域配置项说明示例

    私有根CA信息

    选择私有根CA

    从下拉列表选择一个根CA。

    • 只有从证书中心购买的,并且状态为 已签发 的私有根CA允许被选择。
    • 子CA隶属于一个根CA。一个根CA下允许包含多个子CA。

    Volcengine Root CA

    私有子CA信息私有子CA名称(CN)为子CA设置一个公用名称(Common Name)。该名称将会显示在私有证书的证书层次结构中。Volcengine Sub CA
    企业名称(O)设置子CA所属企业的名称。Volcengine
    部门(OU)设置子CA所属部门的名称。Certificate Center
    国家(C)选择子CA所属企业的国家。中华人民共和国
    省份(ST)设置子CA所属企业的省份。Beijing
    城市(L)设置子CA所属企业的城市。Beijing

    密钥算法

    为子CA选择密钥算法。根据根CA的密钥算法不同,子CA可以选择的密钥算法不同:

    • 如果根CA的密钥算法为 RSAECC,那么子CA可以选择的密钥算法包括:RSAECC
    • 如果根CA的密钥算法为 SM2,那么子CA的密钥算法只能是 SM2

    RSA

    密钥强度

    为子CA选择密钥强度。根据密钥算法不同,可以选择的密钥强度不同:

    • 密钥算法为 RSA 时,可以选择的密钥强度包括:204830724096
    • 密钥算法为 ECC 时,可以选择的密钥强度包括:P256P384P521
    • 密钥算法为 SM2 时,您无需选择密钥强度。密钥强度默认为 SMP256。

    2048

    签名哈希算法

    为子CA选择签名哈希算法。根据根CA的密钥算法不同,子CA可以选择的签名哈希算法不同:

    • 如果根CA的密钥算法为 RSA,那么子CA可以选择的签名哈希算法包括:SHA256SHA384SHA512
    • 如果根CA的密钥算法为 ECC,那么子CA的签名哈希算法与根CA的签名哈希算法相同。
    • 如果根CA的密钥算法为 SM2,那么子CA的签名哈希算法只能是 SM3

    SHA256

    有效期

    为子CA选择有效期。子CA的有效期必须在根CA的有效期内,最小为1天。

    示例:
    假设根CA将于10天后到期,则子CA的有效期不能超过10天。

    5年

    联系信息

    联系方式

    您可以选择 和根CA保持一致自定义子CA联系方式
    如果选择了 自定义子CA联系方式,您还需要设置 联系人姓名联系人邮箱联系人手机备注

    和根CA保持一致

  5. 单击 确认创建

子CA创建成功后,您可以在子CA列表查看刚刚创建的子CA。新创建的子CA默认启用并开始产生费用。此时,子CA的状态为 已签发

后续操作

接下来您可以使用子CA签发私有证书。相关操作,请参见创建私有证书