凯发k8国际娱乐官网入口-k8凯发> 云证书管理服务 ccm> > > 创建私有ca
更新时间:2023-09-18 gmt 08:00

创建私有ca-凯发k8国际娱乐官网入口

华为云云证书管理服务提供有pca服务,可以帮助您通过简单的可视化操作,以低投入的方式创建企业内部ca并使用它签发证书。

本章节帮助您通过云证书管理控制台创建私有ca(支持创建根ca和从属ca)。

背景信息

  • 私有ca分为根ca和从属ca(即中间ca或子ca),从属ca隶属于根ca,根ca下可以包含多个从属ca。
  • 首次创建私有ca时,须先创建根ca。
  • 每个用户可以创建100个ca,已计划删除的私有ca也将计入ca限制值内,直到计划删除ca执行删除为止。

前提条件

创建私有ca的帐号拥有“pca fullaccess”权限。

操作步骤

  1. 登录。
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,并在左侧导航栏选择私有证书管理 > 私有ca进入私有ca管理界面。
  3. 在私有ca列表右上角,单击“创建ca”,进入创建ca界面。
  4. 配置私有ca信息。

    您需要配置“基本信息”“证书唯一标识名称(dn)”“企业项目”“证书吊销配置”信息。

    1. 配置基本信息,如#ccm_01_0016/zh-cn_topic_0000001124217631_fig19641142713913所示,参数说明如表1所示。

      表1 基本信息参数说明

      参数名称

      参数说明

      取值样例

      ca类型

      选择待创建的私有证书颁发机构的类型。

      ca类型:

      • 根ca:如果要建立新的ca层次结构,则选择此项。
        说明:

        首次创建私有ca,则须创建根ca。

      • 从属ca:用于在现有的ca层次结构中增加新的层次。

      根ca

      密钥算法

      选择密钥算法和密钥的位大小。

      • rsa2048
      • rsa4096
      • ec256
      • ec384
      • sm2

      rsa2048

      签名哈希算法

      “ca类型”选择“根ca”时,显示该参数。

      “密钥算法”选择“sm2”时,签名哈希算法默认为“sm3”无需进行选择。

      当密钥算法选择非sm2时,可选择签名哈希算法:

      • sha256
      • sha384
      • sha512

      sha256

      有效期

      “ca类型”选择“根ca”时,显示该参数。

      选择私有证书颁发机构有效期,可选择最长有效期为30年。

      3年
    2. 配置证书唯一标识名称(distinguished name,dn)信息,如图1所示,参数说明如表2所示。
      图1 dn信息
      表2 dn信息参数说明

      参数名称

      参数说明

      取值样例

      ca名称(cn)

      自定义私有ca名称。

      -

      国家/地区

      申请单位所属国家或地区,只能是两个字母的国家或地区代码。

      cn

      省/市

      申请单位所在省名或市名,可以是中文或英文。

      shenzhen

      城市

      申请单位所在城市名,可以是中文或英文。

      guangzhou

      公司名称(o)

      申请单位法定名称,可以是中文或英文。

      -

      部门名称(ou)

      申请单位的所在部门,可以是中文或英文。

      cloud dept.
    3. (可选)在“企业项目”下拉列表中选择您所在的企业项目。

      企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主帐号的客户才可见。

      如需使用该功能,请。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。

      “default”为默认企业项目,帐号下原有资源和未选择企业项目的资源均在默认企业项目内。

    4. (可选)配置证书吊销信息。

      如果需要pca为私有ca吊销的证书发布证书吊销列表(certificate revocation list,crl),则可配置证书吊销信息。

      若无需配置,请直接跳过该步骤。

      配置证书吊销信息,如图2所示,参数说明如表3所示。

      图2 证书吊销
      表3 证书吊销参数说明

      参数名称

      参数说明

      obs授权

      确认是否授权pca服务访问您的obs桶并上传crl文件。

      若确认授权,则单击“立即授权”,并根据提示完成授权。

      授权成功后,取消授权需要到统一身份认证服务控制台委托服务列表中删除委托。

      若已授权,则无需再次授权。

      启用crl发布

      确认是否启用crl发布。

      obs桶

      选择已有的obs桶,或单击“创建新的obs桶”来创建新的obs桶。

      crl更新周期

      crl更新的周期。私有证书管理服务将在指定时间内重新生成crl。

      可设置为7~30的整数更新天数,如果未设置则默认为7天。
  5. 单击“下一步”,进入确认信息页面。
  6. 确认信息以及价格无误后,单击“确认并创建”,完成创建私有ca操作。

    若创建的是根ca,则创建后便已激活;若创建的为从属ca,则需要进行激活操作。

    私有从属ca创建后,如需立即安装ca证书并激活ca,则单击“立即激活”;如需后续再激活,单击“稍后再激活”

后续处理

私有根ca创建成功后,即可用于签发私有证书,申请私有证书详细操作请参见申请私有证书

私有从属ca创建成功后,需要安装证书并激活ca,具体操作请参见激活私有ca

父主题:
分享:
网站地图