如何配置私有证书 |
您所在的位置:网站首页 › 证书 私钥 › 如何配置私有证书 |
|
在数字证书管理服务控制台创建并启用私有CA或合规CA后,您可以通过子CA申请私有证书,用于企业内部应用的身份认证和数据加解密。本文介绍如何配置私有证书。 背景信息只有私有子CA或合规子CA可申请私有证书(即终端实体证书,包含服务端证书和客户端证书)。只有在服务端和客户端分别安装私有证书后,才可以在服务端和客户端之间建立可信通信。 首次配置流程首次配置私有证书时,您需要按照下表中的流程操作。 CA类型配置流程私有CA分配私有证书申请私有证书导出私有证书安装私有证书合规CA购买私有证书分配私有证书申请私有证书导出私有证书安装私有证书前提条件已购买并启用私有CA或合规CA。相关操作,请参见购买及启用私有CA、购买及启用合规CA。 购买私有证书私有CA:创建私有根CA后,您将会获得一个根CA和一个子CA,且子CA默认包含10张证书资源。如果10张证书无法满足您的需求,您可以根据需要购买私有证书。合规CA:购买及启用合规根CA后,您需要根据实际情况购买证书资源,才能签发私有证书。登录数字证书管理服务控制台。在左侧导航栏,单击私有证书。在私有CA或合规CA页签下,单击目标根CA操作列下的购买证书。在购买证书面板,输入您需要购买的证书数量。说明 对于单个根CA,如果您累计购买的证书超过一定数量,数字证书管理服务将减免超过该数量证书的费用。具体支持减免费用的私有证书数量阈值,请请联系产品技术专家进行咨询,详情请参见专家一对一服务。单击购买并完成支付。分配私有证书根CA无法签发证书,只有子CA可以签发私有证书。在申请私有证书前,您需要将根CA拥有的证书资源分配给子CA。根CA和子CA需要同时满足以下条件才能成功分配证书: 根CA为启用状态。根CA下的证书剩余数量不为0。子CA为启用状态。登录数字证书管理服务控制台。在左侧导航栏,单击私有证书。在私有CA或合规CA页签下,单击目标根CA证书剩余数量/总数量列下的分配证书。在分配证书面板,选择需要分配证书的子CA,并设置子CA的证书剩余数量。单击确定。申请私有证书只有在子CA的证书剩余数量不为0时,您才可以在子CA下申请私有证书。 登录数字证书管理服务控制台。在左侧导航栏,单击私有证书。在私有CA或合规CA页签下,单击目标子CA操作列下的申请证书。在申请证书面板,完成证书信息配置。配置说明如下表所示。参数说明证书类型私有证书的类型。可选项:服务端证书:用于安装到应用的服务器。客户端证书:用于安装到访问应用的客户端浏览器。公用名(CN)私有证书主体的通用名称。有效期私有证书的有效期。扩展SAN私有证书的SAN扩展属性。如果该证书需要应用到多个主体,您可以通过 SAN 扩展添加其他主体的信息。 服务端证书支持填写服务域名或服务器IP地址,客户端证书支持填写用户邮箱地址或 URI 。 最多支持添加10个SAN扩展属性。 更多设置如果您需要在证书中添加证书名称、公司和部门信息,您可以单击更多设置并配置以下参数。证书名称私有证书的名称。公司(O)使用私有证书的公司名称。部门(OU)使用私有证书的部门名称。单击确认申请。提交证书申请后,证书会立即签发。您可以单击子CA操作列下的证书列表,在证书列表页面查看已签发的证书信息。导出私有证书通过子CA签发私有证书后,您可以导出私有证书,然后分发给对应的证书主体进行安装使用。 登录数字证书管理服务控制台。在左侧导航栏,单击私有证书。在私有CA或合规CA页签下,单击目标子CA操作列下的证书列表。在证书列表页面,单击目标私有证书操作列下的详情。在证书详情面板,选中查看私钥内容。在请输入密码文本框中,设置一个私钥加密密码,并单击导出。私钥加密密码由8位字符组成,必须同时包含数字、英文大写字符和英文小写字符。该密码用于对您要导出的证书私钥进行加密,后续安装私有证书时(例如,执行OpenSSL命令操作),需要您使用此处设置的密码对私钥解密。建议您妥善保存该密码。导出成功后,证书详情面板下方将会显示该私有证书的证书内容、证书链内容、私钥内容。复制私有证书信息,分发给需要使用该私有证书的主体安装使用。安装私有证书安装服务端证书您需要将服务端证书安装到应用服务器上。安装操作与通过数字证书管理服务购买的SSL证书相同。具体操作,请参见SSL证书安装指南。说明 如果您的证书的安装环境复杂,需要一对一的技术指导,您可以购买证书部署服务。购买部署服务后,证书技术专家会协助您解决安装难题,快速完成证书安装。单击以下链接购买部署服务:部署服务(RSA或ECC算法)部署服务(国密SM2算法)关于部署服务的更多信息,请参见证书申请协助和部署服务。上述部署服务会由证书技术专家远程指导您完成证书部署。如果需要现场部署服务,请请联系产品技术专家进行咨询,详情请参见专家一对一服务。 安装客户端证书安装证书链。说明 服务端证书均没有预安装到浏览器,需要客户端单独安装证书链,才能规避浏览器出现不安全提示。新建一个TXT文件,将证书链内容复制粘贴进去,并将文件保存为.cert格式。将.cert文件分发给要安装客户端证书的用户。用户在客户端双击.cert文件,即可将证书链安装到客户端浏览器。安装证书。新建一个TXT文件,将证书内容复制粘贴进去,并将文件保存为.cert格式。将.cert文件分发给要安装客户端证书的用户。用户在客户端双击.cert文件,即可将证书安装到客户端浏览器。吊销私有证书私有证书过期前,如果不再需要使用私有证书,您可以在数字证书管理服务控制台吊销该私有证书。警告 私有证书吊销、删除后,将不再被企业内部环境所信任,且无法恢复和重新启用,请您谨慎操作。登录数字证书管理服务控制台。在左侧导航栏,单击私有证书。在私有CA或合规CA页签下,单击目标子CA操作列下的证书列表。在证书列表页面,单击目标私有证书操作列下的吊销。在确认对话框,单击吊销。确认吊销后,该私有证书会立即被吊销。证书状态将变更为吊销,这时您可以从证书列表中删除该私有证书。 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |