检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
密会议场景时,私有证书的有效期可能是小时级别的,而当私有证书被用于部署在web服务器时,通常有效期为年级别(当前国际证书颁发机构签发的SSL证书,有效期基本都为1年)。 私有证书的轮换周期是根据私有证书的过期时间来设定的,基本原则是在旧私有证书过期前,将新私有证书替换到对应的工作
仅当创建私有CA时,启用了证书吊销列表配置,吊销证书后才会发布吊销列表。 当父CA未启用CRL时,被吊销的证书不会被写进吊销列表中,意味着校验证书时,证书仍可通过吊销验证,即存在安全隐患。有吊销证书需求的用户,请务必启用CRL配置。 当前只允许将CRL发布至用户授权的OBS桶中,不允许自定义其它地址。
信任根CA 在安装私有证书之前,需要根据实际验证需求将根CA加入客户端或服务器受信任的根证书颁发机构中。 前提条件 已创建根CA并已导出私有根CA证书,导出私有CA证书的详细操作请参见导出私有CA证书。 约束与限制 单向验证 当服务端无需校验客户端的证书身份时(互联网上大部分公开
详情请参见:IAM与企业管理的区别。 “√”表示支持,“x”表示暂不支持。 云证书管理服务(CCM)支持的自定义策略授权项如下所示: SSL证书管理 私有证书管理 父主题: 权限和授权项
您也可以单击“添加接收人”,添加并选择新的接收人。系统会自动发送验证信息到新添加的接收人的手机号和邮箱中,通过验证后,该接收人方可接收消息。 图4 绑定接收人 单击“确定”,完成配置。 私有证书的有效期快到了,怎么避免业务中断? 为了避免证书过期,导致业务中断,请参考如下步骤进行处理。
证书链的完整性校验,逐层校验证书的有效性。 证书链中的根CA是否被校验方所信任(提前预置到信任列表中)。 证书校验过程中主要包含的校验项: 实体所宣称的主体信息(如服务端的域名)是否在证书可选名称的范围内。 证书是否过期。 密钥用法是否符合当前操作(如密钥协商、数字签名等)。 数字签名验证。 是否已被吊销。
Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。 通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥
FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云证书管理服务,如果未提示权限不足,表示“PCA FullAccess”已生效。 父主题:
证书滥用,将会引发安全问题,请给予重视。 须知: 若父CA未启用证书吊销列表,则无法查询到私有证书是否已被吊销,意味着校验私有证书时,私有证书仍可通过吊销验证。 删除私有证书 用户可根据自身需要对私有证书执行删除操作。 任何状态下的私有证书,皆可删除。 须知: 此操作将会在数据库中,立即删除私有
CA启用了证书吊销列表配置,则可在证书吊销列表中查询其吊销信息。 吊销CA属于高危行为,请谨慎操作! 校验过程中需要查询证书吊销列表,方可验证正在校验的证书是否被吊销,否则,将可能与被吊销的证书进行通信,存在安全风险。 私有CA被吊销后,其与其子CA签发的所有证书都将不再被信任(
server_auth 否 Boolean 服务器身份验证,OID为:1.3.6.1.5.5.7.3.1。 true false 说明: 服务器证书请启用本增强型密钥用法,默认为false。 缺省值:false client_auth 否 Boolean 客户端身份验证,OID为:1.3.6.1.5.5
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
