创建私有CA层次结构
最近更新时间:2023.06.25 11:23:48
首次发布时间:2023.06.21 10:39:10
开通私有CA服务后,您可以参考本文说明搭建企业内部的私有CA层次结构。
您需要搭建企业内部的私有CA层次结构,用于签发私有证书。私有CA有两个层级:根CA和子CA。
您需要先创建根CA,然后在根CA下创建子CA。
一个子CA隶属于一个根CA,一个根CA下可以有多个子CA。
前提条件
您已经开通私有CA服务。
操作步骤
登录证书中心控制台。
在左侧导航栏,单击 私有CA。
创建私有根CA。
- 在 私有根CA 页面,单击 创建私有根CA。
- 在 创建私有根CA 页面,根据以下说明完成相关配置,然后单击 确认创建。
以下配置表示定义Volcengine Root CA G1为企业的根CA。根CA具有以下属性:使用 RSA-2048 加密算法、使用 SHA256 签名哈希算法、有效期是 10 年。设置 私有根CA名称(CN) 为
Volcengine Root CA G1。
该名称将会显示在私有证书的证书层次结构中。根据实际情况设置企业的以下信息:企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L)。示例:
企业名称:Volcengine
部门:Security
国家:中华人民共和国
省份:Beijing
城市:Beijing
上述信息都是符合 X.509 协议的证书标准字段。您设置的信息会包含在根CA证书中。下图是通过证书查看工具打开一本根CA证书时显示的信息。
设置与加密相关的信息:
密钥算法:选择 RSA。
密钥强度:选择 2048。
签名哈希算法:选择 SHA256。
选择有效期为 10 年。
有效期长短不影响计费。您可以根据您计划使用私有CA服务的时长来选择根CA的有效期。设置 联系信息。
根据实际情况添加根CA证书的联系人信息。如果根CA证书遇到问题(如到期需要替换等),我们将通过您设置的联系人信息向您发送消息。
私有根CA创建成功后,您可以在私有根CA列表查看刚刚创建的根CA。新创建的根CA默认启用并开始计费。此时,根CA的状态为 已签发。
创建私有子CA。
- 在 私有子CA 页面,单击 创建私有子CA。
- 在 创建私有子CA 页面,根据以下说明完成相关配置,然后单击 确认创建。
以下配置表示定义Volcengine Intermediate CA为企业的子CA。子CA具有以下属性:使用 RSA-2048 加密算法、使用 SHA256 签名哈希算法、有效期是 5 年。选择私有根CA为您在上一步创建的根CA,即
Volcengine Root CA。设置 私有子CA名称(CN) 为
Volcengine Intermediate CA。该名称将会显示在私有证书的证书层次结构中。
根据实际情况设置分支的以下信息:企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L)。示例:
企业名称:Volcengine
部门:Security
国家:中华人民共和国
省份:Beijing
城市:Beijing
上述信息都是符合 X.509 协议的证书标准字段。您设置的信息会包含在子CA证书中。下图是通过证书查看工具打开一本子CA证书时显示的信息。
设置与加密相关的信息:
密钥算法:选择 RSA。
密钥强度:选择 2048。
签名哈希算法:选择 SHA256。
选择有效期为5年。
有效期长短不影响计费。子CA的有效期不能超过根CA的有效时长。
设置 联系信息。
您可以选择 和根CA保持一致 或者 自定义子CA联系方式。
如果根CA证书遇到问题(如需要到期更换等),我们将通过您设置的联系人信息向您发送消息。
私有子CA创建成功后,您可以在私有子CA列表查看刚刚创建的子CA。新创建的子CA默认启用并开始计费。此时,子CA的状态为 已签发。