You need to enable JavaScript to run this app.
导航
创建私有CA层次结构
最近更新时间:2024.04.19 16:35:18首次发布时间:2023.06.21 10:39:10

开通私有CA服务后,您可以参考本文来创建一个私有CA层次结构,用于签发私有证书。

  • 一个私有CA层次结构包含一个私有根CA和至少一个私有子CA。您需要先创建一个私有根CA,然后在私有根CA下创建一个私有子CA。创建私有根CA后,您可得到由私有根CA自己签名的根CA证书;创建私有子CA后,您可得到由私有根CA签名的子CA证书。
  • 私有子CA可用于签发私有证书。私有子CA签发的私有证书,与子CA证书和根CA证书一起构成证书信任链。

说明

私有根CA和私有子CA都采用“按量计费”方式计费。详细计费说明,请参见私有CA计费说明

前提条件

您已经开通私有CA服务

操作步骤

  1. 登录证书中心控制台
  2. 在左侧导航栏,选择 私有CA > 私有根 CA
  3. 单击 创建私有根CA
  4. 创建私有根CA 页面,根据以下说明完成相关配置,然后单击 确认创建
    1. 私有根CA名称(CN):为私有根CA设置名称。示例:Volcengine Root CA

    2. (可选)设置私有根CA的所有者信息,具体包含以下字段:企业名称(O)部门(OU)国家(C)省份(ST)城市(L)。示例:

      • 企业名称(O):Volcengine
      • 部门(OU):Security
      • 国家(C):中华人民共和国
      • 省份(ST):Beijing
      • 城市(L):Beijing

      上述字段是符合X.509标准的。您设置的字段值会包含在私有根CA证书的信息中。以macOS系统为例,下图是使用证书查看工具打开一本私有根CA证书时所显示的证书信息。
      图片

    3. 密钥算法:选择 RSA

    4. 密钥强度:选择 2048

    5. 签名哈希算法:选择 SHA256

    6. 有效期:设置为 10 年
      有效期的长短与私有根CA计费无关。仅当私有根CA启用时才会产生费用。如果您停用了私有根CA,那么私有根CA不会产生费用。

    7. 设置 联系信息
      为私有根CA设置 联系人姓名联系人邮箱联系人手机,以便您接收私有根CA证书到期等通知。
      操作完成后,您可以在私有根CA列表查看刚刚创建的私有根CA。新创建的私有根CA默认启用(对应的 状态已签发)。一旦启用私有根CA,它将开始产生费用。

  5. 单击 创建私有子CA
  6. 创建私有子CA 页面,根据以下说明完成相关配置,然后单击 确认创建
    1. 选择私有根CA:选择刚刚创建的私有根CA。

    2. 私有子CA名称(CN) :为私有子CA设置名称。示例:Volcengine Sub CA

    3. (可选)设置私有子CA的所有者信息,具体包含以下字段:企业名称(O)部门(OU)国家(C)省份(ST)城市(L)。示例:

      • 企业名称(O):Volcengine
      • 部门(OU):Certificate Center
      • 国家(C):中华人民共和国
      • 省份(ST):Beijing
      • 城市(L):Beijing

      上述字段是符合X.509标准的。您设置的字段值会包含在私有子CA证书的信息中。以macOS系统为例,下图是使用证书查看工具打开一本私有子CA证书时所显示的证书信息。
      图片

    4. 密钥算法:选择 RSA

    5. 密钥强度:选择 2048

    6. 签名哈希算法:选择 SHA256

    7. 有效期:设置为 5 年
      有效期的长短与私有子CA计费无关。仅当私有子CA启用时才会产生费用。如果您停用了私有子CA,那么私有子CA不会产生费用。

      说明

      私有子CA的有效期不能超过私有根CA的剩余有效期。

    8. 设置 联系信息
      您可以选择 和根CA保持一致 或者 自定义子CA联系方式。如果选择后者,您需要为私有子CA设置 联系人姓名联系人邮箱联系人手机,以便接收私有子CA证书到期等通知。
      操作完成后,您可以在私有子CA列表查看刚刚创建的私有子CA。新创建的私有子CA默认启用(对应的 状态已签发)。一旦启用私有子CA,它将开始产生费用。

后续操作

签发和使用私有证书