开通私有CA服务后,您可以参考本文来创建一个私有CA层次结构,用于签发私有证书。
- 一个私有CA层次结构包含一个私有根CA和至少一个私有子CA。您需要先创建一个私有根CA,然后在私有根CA下创建一个私有子CA。创建私有根CA后,您可得到由私有根CA自己签名的根CA证书;创建私有子CA后,您可得到由私有根CA签名的子CA证书。
- 私有子CA可用于签发私有证书。私有子CA签发的私有证书,与子CA证书和根CA证书一起构成证书信任链。
说明
私有根CA和私有子CA都采用“按量计费”方式计费。详细计费说明,请参见私有CA计费说明。
前提条件
您已经开通私有CA服务。
操作步骤
- 登录证书中心控制台。
- 在左侧导航栏,选择 私有CA > 私有根 CA。
- 单击 创建私有根CA。
- 在 创建私有根CA 页面,根据以下说明完成相关配置,然后单击 确认创建。
私有根CA名称(CN):为私有根CA设置名称。示例:
Volcengine Root CA。(可选)设置私有根CA的所有者信息,具体包含以下字段:企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L)。示例:
- 企业名称(O):Volcengine
- 部门(OU):Security
- 国家(C):中华人民共和国
- 省份(ST):Beijing
- 城市(L):Beijing
上述字段是符合X.509标准的。您设置的字段值会包含在私有根CA证书的信息中。以macOS系统为例,下图是使用证书查看工具打开一本私有根CA证书时所显示的证书信息。
密钥算法:选择 RSA。
密钥强度:选择 2048。
签名哈希算法:选择 SHA256。
有效期:设置为 10 年。
有效期的长短与私有根CA计费无关。仅当私有根CA启用时才会产生费用。如果您停用了私有根CA,那么私有根CA不会产生费用。设置 联系信息。
为私有根CA设置 联系人姓名、联系人邮箱、联系人手机,以便您接收私有根CA证书到期等通知。
操作完成后,您可以在私有根CA列表查看刚刚创建的私有根CA。新创建的私有根CA默认启用(对应的 状态 是 已签发)。一旦启用私有根CA,它将开始产生费用。
- 单击 创建私有子CA。
- 在 创建私有子CA 页面,根据以下说明完成相关配置,然后单击 确认创建。
选择私有根CA:选择刚刚创建的私有根CA。
私有子CA名称(CN) :为私有子CA设置名称。示例:
Volcengine Sub CA。(可选)设置私有子CA的所有者信息,具体包含以下字段:企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L)。示例:
- 企业名称(O):Volcengine
- 部门(OU):Certificate Center
- 国家(C):中华人民共和国
- 省份(ST):Beijing
- 城市(L):Beijing
上述字段是符合X.509标准的。您设置的字段值会包含在私有子CA证书的信息中。以macOS系统为例,下图是使用证书查看工具打开一本私有子CA证书时所显示的证书信息。
密钥算法:选择 RSA。
密钥强度:选择 2048。
签名哈希算法:选择 SHA256。
有效期:设置为 5 年。
有效期的长短与私有子CA计费无关。仅当私有子CA启用时才会产生费用。如果您停用了私有子CA,那么私有子CA不会产生费用。说明
私有子CA的有效期不能超过私有根CA的剩余有效期。
设置 联系信息。
您可以选择 和根CA保持一致 或者 自定义子CA联系方式。如果选择后者,您需要为私有子CA设置 联系人姓名、联系人邮箱、联系人手机,以便接收私有子CA证书到期等通知。
操作完成后,您可以在私有子CA列表查看刚刚创建的私有子CA。新创建的私有子CA默认启用(对应的 状态 是 已签发)。一旦启用私有子CA,它将开始产生费用。