当您购买私有CA实例后,需要在购买后进行激活。激活后,才能使私有CA正式生效,用于签发私有证书。
本章节指导用户如何激活CA,您可以选择激活当前CA实例为根CA或子CA,首次激活CA实例需要选择激活为根CA,请根据您的业务实际需求进行选择。
前提条件
已购买私有CA实例,详细操作请参见购买私有CA。
私有CA处于“待激活”状态。
激活为根CA
登录云证书与管理服务控制台。
在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。
在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,如图 配置CA信息所示,请填写激活CA相关信息。
图1 配置CA信息
激活为根CA需要选择“CA类型”为“根CA”
根CA:用于建立新的CA层次结构。
配置以下参数。
表1 根CA参数配置
参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
RSA2048
RSA3072
RSA4096
EC256
EC384
签名哈希算法
选择签名哈希算法:
SHA256
SHA384
SHA512
SHA256_PSS
SHA384_PSS
SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为30年。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
确认填写的信息无误后,单击“下一步”。
在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成根CA激活。
使用已有CA激活子CA
登录云证书与管理服务控制台。
在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。
在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。
激活为子CA需要选择“CA类型”为“子CA”
子CA:用于在现有的CA层次结构中增加新的层次。
激活为子CA需要先选择上级CA,如图 选择上级CA。
图2 选择上级CA
选择“已有CA”,在下拉列表选择已创建的CA,并配置以下参数
参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
RSA2048
RSA3072
RSA4096
EC256
EC384
密钥用法(可选)
选择密钥用法:
digitalSignature
nonRepudiation
keyEncipherment
dataEncipherment
keyAgreement
keyCertSign
cRLSign
encipherOnly
decipherOnly
签名哈希算法
选择签名哈希算法:
SHA256
SHA384
SHA512
SHA256_PSS
SHA384_PSS
SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为20年。
路径长度
该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。
说明:
证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
确认填写的信息无误后,单击“下一步”。
在信息确认页面对您已填写的参数进行二次确认,确认无误后单击“确认并激活”完成子CA激活。
使用第三方CA激活子CA
登录云证书与管理服务控制台。
在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。
在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,请填写激活CA相关信息。
激活为子CA需要选择“CA类型”为“子CA”
子CA:用于在现有的CA层次结构中增加新的层次。
激活为子CA需要先选择上级CA,如图 选择上级CA。
图3 选择上级CA
选择“第三方CA”,并配置以下参数
参数名称
参数说明
基本信息
密钥算法
选择密钥算法:
RSA2048
RSA3072
RSA4096
EC256
EC384
密钥用法(可选)
选择密钥用法:
digitalSignature
nonRepudiation
keyEncipherment
dataEncipherment
keyAgreement
keyCertSign
cRLSign
encipherOnly
decipherOnly
签名哈希算法
选择签名哈希算法:
SHA256
SHA384
SHA512
SHA256_PSS
SHA384_PSS
SHA512_PSS
有效期
选择私有CA有效期,可选择的最长有效期为20年。
路径长度
该子CA的路径长度,即当前CA可以签发下级子CA的层次数量,用于控制证书链深度。
说明:
证书链是指根CA、子CA、私有证书三者之间通过层层信任关系链接而成的序列。
证书唯一标识名称(DN)
CA名称(CN)
自定义私有CA名称。
-
国家/地区
申请单位所属国家或地区,只能是两个字母的国家或地区代码。例如,中国只能是CN。
CN
省/市
申请单位所在省名或市名,可以是中文或英文。
ShenZhen
城市
申请单位所在城市名,可以是中文或英文。
GuangZhou
公司名称(O)
申请单位法定名称,可以是中文或英文。
-
部门名称(OU)
申请单位的所在部门,可以是中文或英文。
Cloud Dept.
证书吊销配置(可选)
OBS授权
确认是否授权PCA服务访问您的OBS桶并上传CRL文件。
如果确认授权,则单击“立即授权”,并根据提示完成授权。
授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。
如果已授权,则无需再次授权。
启用CRL发布
确认是否启用CRL发布。
OBS桶
选择已有的OBS桶,或单击“创建新的OBS桶”来创建新的OBS桶。
CRL更新周期
CRL更新的周期。私有证书管理服务将在指定时间内重新生成CRL。
可设置为7~30的整数更新天数,如果未设置则默认为7天。
确认填写的信息无误后,单击“保存,下一步”。
在信息确认页面对您已填写的参数进行二次确认,并填写相关信息,如图 第三方CA。
图4 第三方CA
导出CSR。
在“CA的CSR”中,单击“导出CSR为文件”。
用pem编码的CSR导出到文件中,并让一个父CA对其进行签名。
外部CA签发证书。
使用您的私有CA签发待激活子CA证书。
导入证书。
在“导入外部CA签发的证书”中,将导入证书和证书链。
表2 导入证书参数说明
参数
说明
证书
导入证书体,以文本方式打开待上传证书里的PEM格式的文件(后缀名为“.pem”),将证书体复制到此处。
证书链
导入证书链,以文本方式打开待上传证书里的PEM格式的文件(后缀名为“.pem”),将证书链复制到此处。
确认信息无误后,单击“确认并激活”。完成子CA激活。
后续处理
私有CA激活后,即可用于签发私有证书,申请私有证书详细操作请参见申请私有证书。