步驟一：購買私有根CA

1. 登錄數(shù)字證書管理服務(wù)控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇證書管理 > PCA證書管理。

3. 在私有CA頁簽，單擊購買私有根CA。

4. 在購買私有根CA面板，完成購買配置。

   配置項(xiàng)	描述
   商品模塊	默認(rèn)已選擇PCA服務(wù)，表示為企業(yè)創(chuàng)建一套CA服務(wù)，供企業(yè)維護(hù)和管理證書。
   PCA用途	默認(rèn)已選擇企業(yè)對(duì)內(nèi)使用（無監(jiān)管需求），表示適用于企業(yè)內(nèi)部系統(tǒng)（例如，OA、HR系統(tǒng)）的網(wǎng)絡(luò)通信需要采用加密技術(shù)，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的安全傳輸、用戶身份認(rèn)證等目的。一般不涉及監(jiān)管、行業(yè)規(guī)范等要求。
   商品規(guī)格	默認(rèn)已選擇創(chuàng)建根CA。
   證書算法	選擇通過私有CA簽發(fā)證書時(shí)所使用的加密算法類型。 可選項(xiàng)：RSA、SM（國密）、ECC。
   購買時(shí)長	選擇服務(wù)使用時(shí)長。 購買時(shí)長<1年，根CA有效期最大可設(shè)置為20年；購買時(shí)長>=1年，根CA有效期最大可設(shè)置為100年。 說明 您可以在PCA服務(wù)使用時(shí)長內(nèi)，通過私有CA簽發(fā)證書。服務(wù)到期后，私有CA將無法繼續(xù)簽發(fā)證書，即使支持簽發(fā)的證書數(shù)量還有剩余。

5. 仔細(xì)閱讀并勾選證書管理服務(wù)服務(wù)協(xié)議，單擊立即購買并完成支付。

   完成購買后，您可以在數(shù)字證書管理服務(wù)控制臺(tái)的私有證書頁面，查看已創(chuàng)建的私有CA。創(chuàng)建根CA后，您將會(huì)獲得一個(gè)根CA和一個(gè)子CA，且根CA和子CA的狀態(tài)默認(rèn)都是未啟用。

步驟二：啟用私有CA

購買私有根CA后，您需要依次啟用根CA和子CA。只有啟用根CA后，您才能啟用根CA下的子CA。

啟用根CA

1. 在私有CA頁簽，定位到目標(biāo)根CA，在操作列，單擊啟用。

2. 在CA信息面板，配置根CA的信息，單擊確認(rèn)并啟用。

   數(shù)字證書管理服務(wù)支持使用創(chuàng)建CA證書和上傳CA證書及密鑰的方式啟用CA。選擇不同的方式，需要配置不同的參數(shù)。以下是相關(guān)說明：

   • 啟用方式選擇創(chuàng)建CA證書

     配置項(xiàng)	描述
     啟用方式	選擇創(chuàng)建CA證書。
     公用名 (CN)	該CA關(guān)聯(lián)的組織機(jī)構(gòu)的通用名稱（或簡稱）。支持使用中文或者英文。 示例：阿里云。
     組織部門 (OU)	該CA關(guān)聯(lián)的組織部門的名稱。支持使用中文或者英文。 示例：IT部。
     組織機(jī)構(gòu) (O)	該CA關(guān)聯(lián)的組織機(jī)構(gòu)的名稱。支持使用中文或者英文。 示例：阿里云計(jì)算有限公司。
     城市名稱 (L)	組織機(jī)構(gòu)所在城市名稱。支持使用中文或者英文。 示例：杭州。
     省名稱 (S)	組織機(jī)構(gòu)所在省份名稱。支持使用中文或者英文。 示例：浙江。
     國家/地區(qū) (C)	組織機(jī)構(gòu)所在國家或地區(qū)名稱。支持使用中文或者英文。 示例：中國。
     私鑰算法	該CA使用的私鑰加密算法。 根據(jù)您在購買該P(yáng)CA服務(wù)時(shí)選擇的加密算法不同，此處支持選擇私鑰算法也不同。具體說明如下： 如果CA加密算法是RSA，則此處私鑰算法的可選項(xiàng)包括：RSA_1024、RSA_2048、RSA_4096。 如果CA加密算法是SM（國密），則此處私鑰算法的可選項(xiàng)包括：SM2_256。 如果CA加密算法是ECC，則此處私鑰算法的可選項(xiàng)包括：ECC_256、ECC_384、ECC_512。
     有效期	該CA的有效時(shí)長，表示允許該CA在指定時(shí)長（例如，5年）內(nèi)簽發(fā)證書。 該CA的有效期時(shí)長與您購買私有根CA時(shí)選擇的服務(wù)時(shí)長有關(guān)，詳情如下： 購買的服務(wù)時(shí)長<1年，根CA支持的有效期范圍為1~20年。 購買的服務(wù)時(shí)長>=1年，根CA支持的有效期范圍為1~100年。 說明 如果您購買的PCA服務(wù)已經(jīng)過期（例如，只購買了一個(gè)月的PCA服務(wù)，一個(gè)月后服務(wù)過期），則即使該CA仍然有效，也不能繼續(xù)簽發(fā)證書。這時(shí)您只有通過續(xù)費(fèi)，延長PCA服務(wù)時(shí)長，才能繼續(xù)使用CA簽發(fā)證書。
     是否啟用CRL服務(wù)	是否開啟CRL（Certificate Revocation List）服務(wù)，開啟后，您可以通過CRL查看已吊銷的CA證書信息。更多信息，請(qǐng)參見CRL服務(wù)。

   • 啟用方式選擇上傳CA證書及密鑰

     配置項(xiàng)	描述
     啟用方式	選擇上傳CA證書及密鑰。
     證書文件	填寫證書文件內(nèi)容的PEM編碼。 您可以使用文本編輯工具打開PEM或者CRT格式的證書文件，復(fù)制其中的內(nèi)容并粘貼到該文本框，或者單擊該文本框下的上傳，并選擇存儲(chǔ)在本地計(jì)算機(jī)的證書文件，將文件內(nèi)容上傳到文本框。
     證書私鑰	填寫證書私鑰內(nèi)容的PEM編碼。 您可以使用文本編輯工具打開KEY格式的證書私鑰文件，復(fù)制其中的內(nèi)容并粘貼到該文本框，或者單擊該文本框下的上傳，并選擇存儲(chǔ)在本地計(jì)算機(jī)的證書私鑰文件，將文件內(nèi)容上傳到文本框。

3. 在提示對(duì)話框確認(rèn)信息后，單擊確定。

   成功啟用根CA后，根CA的狀態(tài)將變更為啟用。如果根CA信息填寫有誤需要修改，您可以重置該CA，具體操作，請(qǐng)參見重置私有CA。

啟用子CA

1. 在私有CA頁簽，定位到目標(biāo)根CA，單擊根CA名稱處的圖標(biāo)。

2. 定位到目標(biāo)子CA，在操作列，單擊啟用。

3. 在CA信息面板，配置子CA的信息，單擊確認(rèn)并啟用。

   數(shù)字證書管理服務(wù)支持使用創(chuàng)建CA證書和上傳CA證書及密鑰的方式啟用CA。選擇不同的方式，需要配置不同的參數(shù)。

   • 啟用方式選擇創(chuàng)建CA證書

     配置項(xiàng)	描述
     啟用方式	選擇創(chuàng)建CA證書。
     中間CA用途	根據(jù)子CA用途，選擇中間CA或用戶CA。 中間CA：可用于頒發(fā)下屬CA。 用戶CA：只能用于頒發(fā)用戶證書，例如服務(wù)端證書、客戶端證書等。
     長度限制	中間CA用途選擇中間CA時(shí)，需配置中間CA長度，表示中間CA可以頒發(fā)下屬CA的最大長度。 取值為1~5。 重要 長度限制為1，則下屬CA為用戶CA。
     公用名 (CN)	該CA關(guān)聯(lián)的組織機(jī)構(gòu)的通用名稱（或簡稱）。支持使用中文或者英文。 示例：阿里云。
     組織部門 (OU)	該CA關(guān)聯(lián)的組織部門的名稱。支持使用中文或者英文。 示例：IT部。
     組織機(jī)構(gòu) (O)	該CA關(guān)聯(lián)的組織機(jī)構(gòu)的名稱。支持使用中文或者英文。 示例：阿里云計(jì)算有限公司。
     城市名稱 (L)	組織機(jī)構(gòu)所在城市名稱。支持使用中文或者英文。 示例：杭州。
     省名稱 (S)	組織機(jī)構(gòu)所在省份名稱。支持使用中文或者英文。 示例：浙江。
     國家/地區(qū) (C)	組織機(jī)構(gòu)所在國家或地區(qū)名稱。支持使用中文或者英文。 示例：中國。
     私鑰算法	該CA使用的私鑰加密算法。 根據(jù)您在購買該P(yáng)CA服務(wù)時(shí)選擇的加密算法不同，此處支持選擇私鑰算法也不同。具體說明如下： 如果CA加密算法是RSA，則此處私鑰算法的可選項(xiàng)包括：RSA_1024、RSA_2048、RSA_4096。 如果CA加密算法是SM（國密），則此處私鑰算法的可選項(xiàng)包括：SM2_256。 如果CA加密算法是ECC，則此處私鑰算法的可選項(xiàng)包括：ECC_256、ECC_384、ECC_512。
     有效期	該CA的有效時(shí)長。 該CA的有效期時(shí)長與您創(chuàng)建私有子CA時(shí)選擇的服務(wù)時(shí)長有關(guān)，詳情如下： 服務(wù)時(shí)長<1年，子CA支持的有效期范圍為1~20年。 服務(wù)時(shí)長>=1年，子CA支持的有效期范圍為1~100年。
     是否啟用CRL服務(wù)	是否開啟CRL服務(wù)，開啟后，您可以通過CRL查看已吊銷的CA證書信息。更多信息，請(qǐng)參見CRL服務(wù)。
     擴(kuò)展密鑰用法	選擇擴(kuò)展密鑰用法，即證書標(biāo)識(shí)，便于您進(jìn)行區(qū)分。

   • 啟用方式選擇上傳CA證書及密鑰

     配置項(xiàng)	描述
     啟用方式	選擇上傳CA證書及密鑰。
     證書文件	填寫證書文件內(nèi)容的PEM編碼。 您可以使用文本編輯工具打開PEM或者CRT格式的證書文件，復(fù)制其中的內(nèi)容并粘貼到該文本框，或者單擊該文本框下的上傳，并選擇存儲(chǔ)在本地計(jì)算機(jī)的證書文件，將文件內(nèi)容上傳到文本框。
     證書私鑰	填寫證書私鑰內(nèi)容的PEM編碼。 您可以使用文本編輯工具打開KEY格式的證書私鑰文件，復(fù)制其中的內(nèi)容并粘貼到該文本框，或者單擊該文本框下的上傳，并選擇存儲(chǔ)在本地計(jì)算機(jī)的證書私鑰文件，將文件內(nèi)容上傳到文本框。

4. 在提示對(duì)話框確認(rèn)信息后，單擊確定。

   成功啟用子CA后，子CA的狀態(tài)將變更為啟用。如果子CA信息填寫有誤需要修改，您可以重置該CA，具體操作，請(qǐng)參見重置私有CA。

步驟三：（可選）購買私有子CA

如果需要使用多個(gè)子CA，您可以在已創(chuàng)建的根CA下，通過付費(fèi)購買創(chuàng)建多個(gè)子CA。新購買的子CA默認(rèn)不包含任何證書資源。

1. 在私有CA頁簽，定位到目標(biāo)根CA，在操作列，單擊創(chuàng)建私有子CA。

2. 在創(chuàng)建私有子CA面板，完成購買配置。

   重要

   子CA使用的算法需和根CA一致，不支持修改。

3. 仔細(xì)閱讀并勾選證書管理服務(wù)服務(wù)協(xié)議，單擊立即購買并完成支付。

   完成購買后，您可以在數(shù)字證書管理服務(wù)控制臺(tái)的私有證書頁面，查看已創(chuàng)建的私有子CA。新購的私有子CA默認(rèn)為未啟用狀態(tài)，您需要先啟用，才能使用子CA簽發(fā)證書。

后續(xù)步驟

完成購買及啟用私有CA的操作后，您需要配置私有證書。具體操作，請(qǐng)參見管理私有證書。

相關(guān)文檔

• 私有證書計(jì)費(fèi)說明

• 私有CA證書API

• 吊銷私有CA或合規(guī)CA

• 重置私有CA