本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立和安裝 CA 憑證
完成下列程序來建立及安裝您的私有 CA 憑證。您的 CA 接著便會準備好可供使用。
AWS 私有 CA 支援三種安裝 CA 憑證的案例:
-
為由下列項目主控的根 CA 安裝憑證 AWS 私有 CA
-
安裝父系授權單位是由 AWS 私有 CA託管的次級 CA 憑證
-
安裝父系授權單位是於外部進行託管的次級 CA 憑證
下列各節說明每個案例的程序。主控台程序會從 [私人] 主控台頁面開始CAs。
相容簽署演算法
CA 憑證的簽署演算法支援取決於父 CA 和上的簽署演算法 AWS 區域。下列條件約束適用於主控台和 AWS CLI 作業。
-
具有RSA簽署演算法的父 CA 可以發行具有下列演算法的憑證:
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
在舊版中 AWS 區域,具有EDCSA簽署演算法的父 CA 可以發行具有下列演算法的憑證:
-
SHA256 ECDSA
-
SHA384 ECDSA
-
SHA512 ECDSA
舊版 AWS 區域 包括:
區域名稱
地理位置
eu-north-1
歐洲 (斯德哥爾摩)
me-south-1
Middle East (Bahrain)
ap-south-1
亞太區域 (孟買)
eu-west-3
Europe (Paris)
us-east-2
美國東部 (俄亥俄)
af-south-1
非洲 (開普敦)
eu-west-1
歐洲 (愛爾蘭)
eu-central-1
歐洲 (法蘭克福)
sa-east-1
南美洲 (聖保羅)
ap-east-1
亞太區域 (香港)
us-east-1
美國東部 (維吉尼亞北部)
ap-northeast-2
亞太區域 (首爾)
eu-west-2
歐洲 (倫敦)
ap-northeast-1
亞太區域 (東京)
us-gov-east-1
AWS GovCloud (美國東部)
us-gov-west-1
AWS GovCloud (美國西部)
us-west-2
美國西部 (奧勒岡)
us-west-1
美國西部 (加利佛尼亞北部)
ap-southeast-1
亞太區域 (新加坡)
ap-southeast-2
亞太區域 (悉尼)
-
-
在非舊版中 AWS 區域,下列規則適用於EDCSA:
-
具有 EC_PRIME256v1 簽署演算法的父系 CA 可以發行具有 P256 的憑證。ECDSA
-
具有簽署演算法的父系 CA 可以使用 P384 簽署演算法來發行憑證。ECDSA
-
安裝根 CA 憑證
您可以從 AWS Management Console 或安裝根 CA 憑證 AWS CLI。
建立並安裝私人根 CA (主控台) 的憑證
-
(選擇性) 如果您尚未進入 CA 的詳細資料頁面,請在https://console.aws.amazon.com/acm-pca/首頁
開啟 AWS 私有 CA 主控台。在 [私人憑證授權單位] 頁面上,選擇狀態為擱置憑證或作用中的根 CA。 -
選擇「動作」、「安裝 CA 憑證」以開啟「安裝根 CA 憑證」頁面。
-
在「指定根 CA 憑證參數」下,指定下列憑證參數:
-
有效性 — 指定 CA 憑證的到期日和時間。根 CA 憑證的 AWS 私有 CA 預設有效期為 10 年。
-
簽章演算法 — 指定根 CA 發行新憑證時要使用的簽署演算法。可用的選項會根據建立 CA 的 AWS 區域 位置而有所不同。如需詳細資訊,請參閱相容簽署演算法支援的加密演算法、和SigningAlgorithm中的CertificateAuthorityConfiguration。
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
檢查您的設定是否正確,然後選擇 [確認並安裝]。 AWS 私有 CA CSR為您的 CA 匯出、使用根 CA 憑證範本產生憑證,並自行簽署憑證。 AWS 私有 CA 然後匯入自我簽署的根 CA 憑證。
-
-
CA 的詳細資料頁面會在頂端顯示安裝狀態 (成功或失敗)。如果安裝成功,新完成的根 CA 會在 [一般] 窗格中顯示 [作用中] 狀態。
建立並安裝私有根 CA 的憑證 (AWS CLI)
-
產生憑證簽署要求 (CSR)。
$aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --output text \ --regionregion> ca.csr產生的檔案
ca.csr(以 base64 格式編碼的PEM檔案) 具有下列外觀。-----BEGIN CERTIFICATE REQUEST----- MIIC1DCCAbwCAQAwbTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29y cDEOMAwGA1UECwwFU2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhh bXBsZS5jb20xEDAOBgNVBAcMB1NlYXR0bGUwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQDD+7eQChWUO2m6pHslI7AVSFkWvbQofKIHvbvy7wm8VO9/BuI7 LE/jrnd1jGoyI7jaMHKXPtEP3uNlCzv+oEza07OjgjqPZVehtA6a3/3vdQ1qCoD2 rXpv6VIzcq2onx2X7m+Zixwn2oY1l1ELXP7I5g0GmUStymq+pY5VARPy3vTRMjgC JEiz8w7VvC15uIsHFAWa2/NvKyndQMPaCNft238wesV5s2cXOUS173jghIShg99o ymf0TRUgvAGQMCXvsW07MrP5VDmBU7k/AZ9ExsUfMe2OB++fhfQWr2N7/lpC4+DP qJTfXTEexLfRTLeLuGEaJL+c6fMyG+Yk53tZAgMBAAGgIjAgBgkqhkiG9w0BCQ4x EzARMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAA7xxLVI5s1B qmXMMT44y1DZtQx3RDPanMNGLGO1TmLtyqqnUH49Tla+2p7nrl0tojUf/3PaZ52F QN09SrFk8qtYSKnMGd5PZL0A+NFsNW+w4BAQNKlg9m617YEsnkztbfKRloaJNYoA HZaRvbA0lMQ/tU2PKZR2vnao444Ugm0O/t3jx5rj817b31hQcHHQ0lQuXV2kyTrM ohWeLf2fL+K0xJ9ZgXD4KYnY0zarpreA5RBeO5xs3Ms+oGWc13qQfMBx33vrrz2m dw5iKjg71uuUUmtDV6ewwGa/VO5hNinYAfogdu5aGuVbnTFT3n45B8WHz2+9r0dn bA7xUel1SuQ= -----END CERTIFICATE REQUEST-----您可以使用「SSL開啟
」來檢視和驗證的內容CSR。 openssl req -text -noout -verify -in ca.csr這會產生類似下列的輸出。
verify OK Certificate Request: Data: Version: 0 (0x0) Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: sha256WithRSAEncryption 0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5: 0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50: 7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67: 9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64: bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed: 81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd: b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82: 6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2: 54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4: 9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b: 9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af: 3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0: 66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d: 31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51: e9:75:4a:e4 -
使用上一個步驟CSR中的作為
--csr參數的引數,發行根憑證。注意
如果您使用的是 1.6.3 AWS CLI 版或更新版本,請在指定所需的輸入檔案
fileb://時使用前置詞。如此可確保正確 AWS 私有 CA 剖析 Base64 編碼的資料。$aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=365,Type=DAYS -
擷取根憑證。
$aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID\ --output text > cert.pem產生的檔案
cert.pem(以 base64 格式編碼的PEM檔案) 具有下列外觀。-----BEGIN CERTIFICATE----- MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7 t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4 YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3 DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2 t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX 2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4 -----END CERTIFICATE-----您可以使用「開啟
」SSL 來檢視和驗證憑證的內容。 openssl x509 -in cert.pem -text -noout這會產生類似下列的輸出。
Certificate: Data: Version: 3 (0x2) Serial Number: 82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Validity Not Before: Mar 8 15:46:27 2021 GMT Not After : Mar 8 16:46:27 2022 GMT Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23: b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef: 09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c: 6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b: 3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4: 0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9: 52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da: 86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca: 6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24: 48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db: f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a: c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83: df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1: 6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6: c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe: 5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c: b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7: 7b:59 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: 69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign Signature Algorithm: sha256WithRSAEncryption 17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9: 8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3: 5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7: a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66: aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d: cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63: 4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27: 11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95: b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49: 78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a: 57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed: 92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3: 48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae: e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77: d3:69:5c:38 -
匯入根 CA 憑證以將其安裝在 CA 上。
注意
如果您使用的是 1.6.3 AWS CLI 版或更新版本,請在指定所需的輸入檔案
fileb://時使用前置詞。如此可確保正確 AWS 私有 CA 剖析 Base64 編碼的資料。$aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --certificate file://cert.pem
檢查 CA 的新狀態。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --output json
狀態現在會顯示為ACTIVE。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}安裝由主控的從屬 CA 憑證 AWS 私有 CA
您可以使用 AWS Management Console 為 AWS 私有 CA 託管的下屬 CA 建立和安裝憑證。
若要建立並安裝您的 AWS 私有 CA 託管下屬 CA 憑證
-
(選擇性) 如果您尚未進入 CA 的詳細資料頁面,請在https://console.aws.amazon.com/acm-pca/首頁
開啟 AWS 私有 CA 主控台。在 [私人憑證授權單位] 頁面上,選擇狀態為 [擱置憑證] 或 [作用中] 的下屬 CA。 -
選擇「動作」、「安裝 CA 憑證」以開啟「安裝從屬 CA 憑證」頁面。
-
在 [安裝附屬 CA 憑證] 頁面的 [選取 CA 類型] 下,選擇AWS Private CA安裝由 AWS 私有 CA管理的憑證。
-
在 [選取父項 CA] 底下,從 [父項私人 CA] 清單中選擇 CA。系統會篩選清單以顯CAs示符合下列條件:
-
您有使用 CA 的權限。
-
CA 不會自行簽署。
-
CA 處於狀態
ACTIVE。 -
CA 模式為
GENERAL_PURPOSE。
-
-
在「指定從屬 CA 憑證參數」下,指定下列憑證參數:
-
有效性 — 指定 CA 憑證的到期日和時間。
-
簽章演算法 — 指定根 CA 發行新憑證時要使用的簽署演算法。選項為:
-
SHA256 RSA
-
SHA384 RSA
-
SHA512 RSA
-
-
路徑長度 — 從屬 CA 簽署新憑證時可新增的信任層數目。路徑長度為零 (預設值) 表示只能建立最終實體憑證,而不能建立 CA 憑證。一或多個路徑長度表示從屬 CA 可能會發出憑證,以建立額外的CAs從屬。
-
範本 ARN — 顯示此 CA 憑證ARN的組態範本。如果您變更了指定的 Path length (路徑長度),範本也會變更。如果您使用CLI問題憑證命令或APIIssueCertificate動作建立憑證,您必須手動指定ARN。如需可用 CA 憑證範本的資訊,請參閱 瞭解憑證範本。
-
-
檢查您的設定是否正確,然後選擇 [確認並安裝]。 AWS 私有 CA 匯出CSR、使用從屬 CA 憑證範本產生憑證,並使用選取的父項 CA 簽署憑證。 AWS 私有 CA 然後匯入已簽署的下屬 CA 憑證。
-
CA 的詳細資料頁面會在頂端顯示安裝狀態 (成功或失敗)。如果安裝成功,新完成的從屬 CA 會在 [一般] 窗格中顯示 [作用中] 狀態。
安裝由外部父 CA 簽署的從屬 CA 憑證
如建立 CA (主控台) 的程序或所述建立從屬私有 CA 之後建立 CA (CLI) 的程序 ,您可以選擇透過安裝由外部簽署授權單位簽署的 CA 憑證來啟動它。使用外部 CA 簽署您的下屬 CA 憑證時,您必須先設定外部信任服務提供者作為簽署授權單位,或安排使用第三方提供者。
注意
建立或取得外部信任服務提供者的程序不在本指南的範圍內。
建立下屬 CA 並可存取外部簽署授權單位之後,請完成下列工作:
-
從取得憑證簽署要求 (CSR) AWS 私有 CA。
-
提交CSR給您的外部簽署授權單位,並取得已簽署的 CA 憑證以及任何鏈結憑證。
-
將 CA 憑證和鏈結匯入, AWS 私有 CA 以啟動您的下屬 CA。
如需詳細程序,請參閱外部簽署的私有 CA 憑證 。
