检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
前提条件 待取消删除的私有CA需处于“计划删除”状态。 操作步骤 登录管理控制台。 单击页面左上方的,选择“安全与合规 > 云证书管理服务”,并在左侧导航栏选择“私有证书管理 > 私有CA”进入私有CA管理界面。 在需要取消删除的私有CA所在行的“操作”列,单击“取消删除”。 图1 取消删除私有CA
查看PCA审计日志 开启了云审计服务后,系统开始记录云证书管理服务相关的操作。云审计服务管理控制台保存最近7天的操作记录。 查看PCA的云审计日志 登录管理控制台。 在左侧导航树中,单击,选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。 单击左侧导航树的“事件列表”,进入事件列表信息页面。
禁用CA 禁用私有CA,禁用状态下不可用于签发证书,但可吊销证书和签发吊销列表。 相关参数详情请参见禁用CA参数说明。 import com.huaweicloud.sdk.ccm.v1.CcmClient; import com.huaweicloud.sdk.ccm.v1.model
withEndpoint(CCM_ENDPOINT).build(); // 3、构造请求参数 // 需要操作的CA证书的ID String caId = "3a02c7f6-d8f5-497e-9f60-18dfd3eeb4e6";
证书(应用于客户端)、服务器证书(应用于服务器)等。承担实体的身份验证的作用,不可用于签发证书,属于证书链中的最后一层,是拥有该证书的实体与其它实体进行HTTPS通信的凭证。私有证书内容,如图 私有证书所示。如何获取私有证书,请参见申请私有证书。 图1 私有证书 证书吊销列表 证书吊销列表(Certificate
同的功能属性,如表 私有CA状态的功能属性所示。 图1 私有CA状态关系 表1 私有CA状态的功能属性 私有CA状态 签发证书 吊销证书 导出证书 导入证书 导出CSR 占用CA配额 是否收费 待激活 否 否 否 是 是 是 否 已激活 是 是 是 否 否 是 是 已禁用 否 是
在IAM控制台创建用户组,并授予私有证书管理服务管理员权限“PCA FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云证书管理服务,如果未提示权限不足,表示“PCA
业务节点的受信任根证书列表中,才可保证新签发的证书被信任。 当新证书的替换工作完成后,将旧证书全部吊销和删除,包括旧CA。 规划合理的定期私有CA轮换方案,可保障证书得到不断的更新,防范私钥被攻破;规划突发情况下的应急私有CA轮换方案,可避免业务的损失,如证书私钥暴露、签发机构不再可信等各类突发情况造成的损失。
获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。
前提条件 请准备基础认证信息: ACCESS_KEY:华为云账号Access Key SECRET_ACCESS_KEY:华为云账号Secret Access Key DOMAIN_ID:华为云账号ID,详情请参见华为云账号基本概念 CCM_ENDPOINT:华为云CCM服务(P
私有CA管理代码示例 创建CA 删除CA 禁用CA 启用CA 导出CA证书 取消删除CA 获取CA详情 查询CA配额 父主题: PCA代码示例最佳实践
中,根CA是自签名证书,可直接创建。从属CA属于子CA,创建前需要先创建其父CA。因此,创建私有CA时,有以下三种情况: 创建根CA,创建成功后,证书为“已激活”状态。根CA的密钥用途固定为数字签名、签发证书、签发CRL,即可用于签发证书、吊销证书以及签发证书吊销列表,无法进行自定义。
CA deleteCertificateAuthority 申请证书 endEntityCert createCertificate 删除证书 endEntityCert deleteCertificate 吊销证书 endEntityCert revokeCertificate
根CA用于签发二级从属CA,二级CA(路径深度设置为0)负责签发私有证书。 此种结构为比较常用的CA层次结构。 CA层次浅,证书链在传输和校验过程中可节省开销,且在根CA与私有证书之间做了隔绝,使用从属CA来签发证书,若单个从属CA泄露,只需将其吊销和替换其下所有的证书即可,不影响其他从属CA的使用,终端也无
OBS桶名称,用于发布CRL,需要已授权!!! * - crlName: 证书吊销列表文件名,不传入时默认取CA ID作为文件名 * - validDays: 证书吊销列表更新周期 */ CrlConfiguration
import com.huaweicloud.sdk.core.auth.GlobalCredentials; /** * 获取CA证书详情 */ public class ShowCertificateAuthorityExample { /** * 基础认证信息:
sdk.core.auth.GlobalCredentials; import java.util.List; /** * 查询CA证书配额 */ public class ShowCertificateAuthorityQuotaExample { /**
续费 续费概述 手动续费 自动续费
安全 责任共担 身份认证与访问控制 认证证书
附录 状态码 错误码 获取项目ID
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
