创建私有CA层次结构后,您可以参考本文来签发和下载私有证书。
您可以使用私有子CA签发私有证书。私有证书是签发给企业内部终端实体(如用户、计算机、应用程序、服务、服务器和其他设备)的证书。私有证书签发后,您可以从证书中心下载私有证书,然后将私有证书分发给相应的使用者进行使用。
在模拟场景下,您需要为内部应用签发服务端私有证书(简称”服务端证书“),同时为企业员工签发客户端私有证书(简称”客户端证书“)。
- 服务端证书:需要安装到托管内部应用的服务器上。
- 客户端证书:需要安装到对内部应用有访问需求的员工的终端设备上。
说明
私有证书按预付费方式收费。当您请求一本私有证书时,需要立即支付相应费用,只有在支付完成后证书才会被签发。如果您需要请求多本私有证书,我们建议购买和使用私有证书资源包,这样可以享受更优惠的单价。更多信息,请参见私有证书资源包。
前提条件
您已经创建私有CA层次结构。
签发私有证书
- 登录证书中心控制台。
- 在左侧导航栏,选择 私有CA > 私有证书。
- 为内部应用签发一本服务端证书。
- 在 私有证书 页面,单击 创建私有证书。
- 在 创建私有证书 页面,根据以下说明完成相关配置,然后单击 确认创建。
- 私有子CA信息:选择一个已启用的私有子CA。
- 私有证书资源包:根据需要选择 是否消耗资源包。
默认值是 否,这表示在提交订单后您必须立即完成支付。如果您有可用的私有证书资源包,可以选择 是。这样,提交订单后您无需进行手动支付,证书中心会从资源包中扣除消耗的资源。 - 私有证书信息:
- CSR生成方式:选择 自动。
- 私有证书名称(CN):填写内部应用的域名。
- 企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L):填写内部应用所有者的相关信息。
- 密钥算法:选择 RSA。
- 密钥强度:选择 2048。
- 签名哈希算法:选择 SHA256。
- 有效期:设置为 1 年。
- 如果 是否消耗资源包 为 否,您需根据界面引导完成支付。
私有证书创建成功后,您可以在私有证书列表查看刚刚创建的私有证书。此时,私有证书的状态为 已签发。
- 为终端用户签发一本客户端证书。
签发私有证书的操作步骤可以参考步骤3。在填写私有证书信息时,留意以下配置:
- 私有证书名称(CN):填写员工的唯一标识符,如企业邮箱地址。
- 企业名称(O)、部门(OU)、国家(C)、省份(ST)、城市(L):填写员工的相关信息。
下载私有证书
在私有证书列表,找到已签发的私有证书,单击 操作 列的 下载。
私有证书将被下载到浏览器的默认存储路径。下载的文件是一个 .tar 压缩包。解压缩文件后,您将会获得以下文件:
certificate.pem:证书文件。certificate_chain.pem:证书链文件。private_key.pem:证书私钥文件。
说明
- 以上文件的内容均采用 PEM 编码。
- 只有当 CSR 生成方式 被选择为 自动 时,您才会得到证书私钥文件。
接下来,您可以根据证书的用途将证书分发给使用者进行安装和使用。