创建私有 CA

本章节指导用户创建私有CA，支持创建根CA和从属CA。

用户指南 11 私有证书管理

背景信息

● 私有CA分为根CA和从属CA（即中间CA），从属CA隶属于根CA，根CA下可以包 含多个从属CA。

● 首次创建私有CA时，须先创建根CA。

● 每个用户可以创建100个CA，已计划删除的私有CA也将计入CA限制值内，直到计 划删除CA执行删除为止。

操作步骤

步骤1 登录管理控制台。

步骤2 单击页面左上方的 ，选择“安全与合规 > 云证书管理服务”，并在左侧导航栏选 择“私有证书管理 > 私有CA”进入私有CA管理界面。

步骤3 在私有CA列表左上角，单击“创建CA”，进入创建CA界面。

步骤4 选择待创建私有CA的使用区域。

目前仅支持按需计费，因此无需选择计费模式。

步骤5 配置私有CA信息。

您需要填写“基本信息”、“证书唯一标识名称（DN）”和“证书吊销配置”信息。

1. 配置基本信息，如图11-1所示，参数说明如表11-2所示。

图11-1 基本信息

表11-2 基本信息参数说明

参数名称 参数说明 取值样例

CA类型 选择待创建的私有证书颁发机构的类 型。

CA类型：

– 根CA：如果要建立新的CA层次结 构，则选择此项。

说明首次创建私有CA，则须创建根CA。

– 从属CA：用于在现有的CA层次结 构中增加新的层次。

根CA

用户指南 11 私有证书管理

参数名称 参数说明 取值样例 密钥算法 选择密钥算法和密钥的位大小。

– RSA2048 – RSA4096 – EC256

– SHA256 – SHA384 – SHA512

SHA256

2. 配置证书唯一标识名称（Distinguished Name，DN）信息，如图11-2所示，参 数说明如表11-3所示。

或英文。 Huawei

Technologies Co., Ltd.

部门名称（OU） 申请单位的所在部门，可以是中文或

英文。 Cloud Dept.

用户指南 11 私有证书管理

3. （可选）配置证书吊销信息。

如果需要PCA为私有CA吊销的证书发布证书吊销列表（Certificate Revocation List，CRL），则可配置证书吊销信息。

若无需配置，请直接跳过该步骤。

配置证书吊销信息，如图11-3所示，参数说明如表11-4所示。

图11-3 证书吊销

表11-4 证书吊销参数说明

参数名称 参数说明

OBS授权 确认是否授权PCA服务访问您的OBS桶并上传CRL文 件。

若确认授权，则单击“立即授权”，并根据提示完 成授权。

授权成功后，取消授权需要到统一身份认证服务控 制台委托服务列表中删除委托。

若已授权，则无需再次授权。

启用CRL发布 确认是否启用CRL发布。

OBS桶 选择已有的OBS桶，或单击“创建新的OBS桶”来 创建新的OBS桶。

CRL更新周期 CRL更新的周期。私有证书管理服务将在指定时间内 重新生成CRL。

请设置为7~30的整数。

步骤6 单击“下一步”，进入确认信息页面。

步骤7 确认信息以及价格无误后，单击“确认并创建”，完成创建私有CA操作。

若创建的是根CA，则创建后便已激活；若创建的为从属CA，则需要进行激活操作。

私有从属CA创建后，如需立即安装CA证书并激活CA，则单击“立即激活”；如需后续 再激活，单击“稍后再激活”。

----结束

用户指南 11 私有证书管理

后续处理

私有根CA创建成功后，即可用于签发私有证书，申请私有证书详细操作请参见申请私 有证书。

私有从属CA创建成功后，需要安装证书并激活CA，具体操作请参见激活私有CA。