本文介绍了在证书中心控制台管理私有子CA(简称“子CA”)的方法,具体包括:下载子CA证书、启用/停用子CA、吊销子CA、删除子CA。
背景信息
子CA包含两种类型:在证书中心创建的子CA、上传到证书中心进行托管的子CA。不同类型的子CA支持的操作不同。
- 对于在证书中心创建的子CA,支持的操作包括:下载、停用、启用、吊销、删除。
- 对于上传的子CA,支持的操作只包括:下载。
说明
如需删除上传的子CA,请提交工单。
CA状态说明
在证书中心创建的子CA
子CA创建后,默认处于“已签发”状态并开始产生费用。子CA支持的所有状态如下表所示。状态 说明 当前状态下是否产生费用 当前状态下允许的操作 已签发 一旦创建,子CA默认处于“已签发”状态。 是 下载、停用、吊销 已停用 当您手动停用子CA后,子CA的状态将变成“已停用”。如果您手动启用子CA,那么子CA可恢复到“已签发”状态。 否 启用 已冻结 当您的火山引擎账户发生欠费时,子CA的状态将变成“已冻结”。如果您补还欠费,那么子CA可恢复到“已签发”状态。 否 无 已到期 当子CA到期后,它的状态将变成“已到期”。 否 删除 已吊销 当您手动吊销子CA后,子CA的状态将变成“已吊销”。 否 删除 不同状态间的流转如下图所示。
上传的子CA
上传的子CA的状态默认为“已签发”(不会产生费用)。
访问私有子CA页面
登录证书中心控制台,然后在左侧导航栏选择 私有CA > 私有子CA。
接下来,您可以在 私有子CA 页面管理子CA。
下载子CA证书
您可以将子CA的证书下载到本地计算机。
前提条件
子CA的状态是 已签发。
操作步骤
- 在 私有子CA 页面,找到要操作的子CA,单击 操作 列的 下载。
子CA的证书压缩包将被下载到浏览器的默认下载路径。 - 解压缩证书压缩包。
完成解压缩后,您将获得证书文件。证书文件是 .pem 格式。
启用子CA
如果您希望使用某个已被停用的子CA,您需要先启用它。
前提条件
- 子CA隶属的根CA的状态是 已签发。
说明
如果根CA当前处于 已停用 状态,您必须先启用根CA,然后才可以启用子CA。
- 子CA的状态是 已停用。
操作步骤
在 私有子CA 页面,找到要启用的子CA,单击 操作 列的 启用。
停用子CA
如果您希望暂停使用某个子CA,您可以停用它。
子CA在“已停用”状态下不会产生费用。您可以在需要时重新启用已停用的子CA。
操作须知
停用某个子CA会带来以下影响:
- 您将无法继续使用该子CA签发证书。
- 通过该子CA签发的私有证书将无法正常使用,意味着服务或客户端将不再信任这些证书,可能影响业务运行。这是因为CRL、OCSP服务被关闭了,导致已签发证书的吊销状态无法被查询,服务或客户端无法验证证书的有效性。
前提条件
子CA的状态是 已签发。
操作步骤
- 在 私有子CA 页面,找到要停用的子CA,单击 操作 列的 停用。
- 在弹出的对话框,勾选 已确认停用,然后单击 停用。
吊销子CA
当您发现某个子CA存在安全隐患时(如私钥被泄露等),建议您及时将它吊销。
子CA被吊销后将不再产生费用。吊销子CA后,您将无法恢复它。如需继续使用子CA,您只能创建新的子CA。
操作须知
吊销某个子CA会带来以下影响:
- 对应的私有CA证书在组织内部不再被信任。
- 通过该子CA签发的私有证书无法继续使用。
注意
在进行吊销操作之前,您应详细规划吊销流程并评估对业务的潜在影响。如需协助评估吊销风险,您可以提交工单联系证书中心技术支持。
前提条件
子CA的状态是 已签发。
操作步骤
- 在 私有子CA 页面,找到要吊销的子CA,单击 操作 列的 吊销。
- 在弹出的对话框,输入吊销当前证书的 理由,然后单击吊销。
删除子CA
如果子CA已经失效(如已被吊销、已到期),您可以将子CA从证书中心控制台删除。
前提条件
子CA处于以下状态之一: 已吊销、已到期。
操作步骤
- 在 私有子CA 页面,找到要删除的子CA,单击 操作 列的 删除。
- 在弹出的对话框,勾选 已确认删除,然后单击 删除。