签发和使用私有证书

创建私有CA层次结构后，您可以参考本文说明签发和使用私有证书。

您可以通过私有子CA签发私有证书。私有证书是颁发给内部终端实体（如用户、计算机、应用程序、服务、服务器和其他设备）的证书。获得私有证书后，您可以将私有证书分发给相应的使用者进行使用。

在模拟场景下，您需要分别为内部服务器、企业员工分别创建服务端证书、客户端证书。

• 服务端证书：需要安装到内部应用所在服务器上。
• 客户端证书：需要安装到访问内部应用的员工的终端设备上。

前提条件

您已经创建私有CA层次结构。

签发私有证书

1. 登录证书中心控制台。

2. 在左侧导航栏，选择 私有CA > 私有证书。

3. 为服务端签发私有证书。

   1. 在 私有证书 页面，单击 创建私有证书。

   2. 在 创建私有证书 页面，根据以下说明完成相关配置，然后单击 确认创建。

      • 私有子CA信息：选择私有子CA为Volcengine Intermediate CA。
      • 私有证书资源包：设置 是否消耗资源包 为 否。
      • 私有证书信息：
        • CSR生成方式：选择 自动。
        • 私有证书名称（CN）：填写内部应用的域名。
        • 企业名称（O）、部门（OU）、国家（C）、省份（ST）、城市（L）：填写内部应用所有者的信息。
        • 密钥算法：选择 RSA。
        • 密钥强度：选择 2048。
        • 签名哈希算法：选择 SHA256。
        • 有效期：设置为 1 年。

   3. 完成支付。

   私有证书创建成功后，您可以在私有证书列表查看刚刚创建的服务端私有证书。此时，私有证书的状态为 已签发。

4. 为终端用户签发私有证书。

   1. 在 私有证书 页面，单击 创建私有证书。

   2. 在 创建私有证书 页面，根据以下说明完成相关配置，然后单击 确认创建。

      1. 私有子CA信息：选择私有子CA为Volcengine Intermediate CA。
      2. 私有证书资源包：设置 是否消耗资源包 为 否。
      3. 私有证书信息：
         • CSR生成方式：选择 自动。
         • 私有证书名称（CN）：填写员工的信息，如企业邮箱地址。
         • 企业名称（O）、部门（OU）、国家（C）、省份（ST）、城市（L）：填写员工的信息。
         • 密钥算法：选择 RSA。
         • 密钥强度：选择 2048。
         • 签名哈希算法：选择 SHA256。
         • 有效期：选择 1 年。

   3. 完成支付。

   私有证书创建成功后，您可以在私有证书列表查看刚刚创建的客户端私有证书。此时，私有证书的状态为 已签发。

下载和使用私有证书

在私有证书列表，找到已签发的服务端证书、客户端证书，单击 操作 列的 下载。

私有证书将被下载到浏览器的默认存储路径。下载的证书文件是一个 .tar 压缩包。解压缩文件后，您将会获得以下文件：

• certificate.pem：证书文件。
• certificate_chain.pem：证书链文件。
• private_key.pem：证书私钥文件。

接下来，您可以根据证书的用途将证书分发给使用者进行安装和使用。