使用 UI 管理 EP11 证书
企业 PKCS #11 (EP11) 证书存储公用密钥或属性证书。 除了使用 Hyper Protect Crypto Services PKCS #11 API 来管理 EP11 证书外,您还可以使用 UI 来查看,下载和删除 EP11 证书。
目前,不支持使用 UI 创建 EP11 证书。 如果要创建 EP11 证书,那么需要使用 PKCS #11 API。
准备工作
在使用 UI 管理 EP11 证书之前,请完成以下步骤以打开 Hyper Protect Crypto Services 仪表板:
- 登录 UI。
- 转至 菜单 > 资源列表 以查看资源列表。
- 从 IBM Cloud 资源列表中,选择 Hyper Protect Crypto Services 的供应实例,然后单击实例名称。
查看 EP11 证书
有关支持查看 EP11 证书的缺省服务访问角色,请参阅 服务访问角色。 如果要创建定制角色,请确保将以下操作分配给定制角色:
hs-crypto.keystore.listkeystoresbyidshs-crypto.keystore.listkeysbyids
有关创建定制角色的指示信息,请参阅 创建定制角色。
查看 EP11 证书列表
要查看已创建的 EP11 证书的列表,请在 Hyper Protect Crypto Services 仪表板上,选择侧边菜单中的 EP11 证书 选项卡。
将显示 EP11 证书表,其中包含以下详细信息。
要定制表的显示方式,请单击 设置图标 
并检查要显示的列。
| 属性 | 描述 |
|---|---|
| 公共名称 | 便于识别证书的人类可读别名。 证书名称可能不唯一。 您可以分配多个具有相同名称的证书。 |
| Organization | 证书所属的组织。 |
| 组织单元 | 证书所属的组织单元。 |
| 国家或地区 | 证书所在的国家或地区。 |
| 省/自治区/直辖市 | 证书所在的省/自治区/直辖市。 |
| 位置 | 证书所在的特定位置。 |
| 序列号 | 证书的序列号。 |
| 证书类型 | 证书的类型。 提供了三种证书类型: X.509 公用密钥证书,WTLS 公用密钥证书和 X.509 属性证书。 |
| 证书类别 | 证书的类别。 可用证书类别包括: 用户证书,CA 证书和其他最终实体证书。 缺省情况下,未指定类别。 |
| 发布日期 | 发放证书的日期。 |
| 到期日期 | 证书的截止日期。 如果证书已到期,那么将显示错误图标。 |
| 签发者 | 证书的签发者。 |
| 标签 | 证书的描述。 |
| 版本 | 证书的版本号。 |
| 密钥库 | 存储证书的密钥库标识。 |
查看 EP11 证书详细信息
要查看有关每个证书的更多详细信息,请完成以下步骤:
-
在侧边菜单中选择 EP11 证书 选项卡,然后在列表中查找要查看的证书。
-
单击 操作 图标
,然后选择 查看证书详细信息。 -
将显示一个侧面板以显示以下证书详细信息。
根据创建 EP11 证书的方法,详细信息侧面板中显示的属性可能有所不同。
表 2. 每个证书的属性 属性 描述 公共名称 便于识别证书的人类可读别名。 证书名称可能不唯一。 您可以分配多个具有相同名称的证书。 证书 证书主体。 您可以通过单击 下载来下载证书。 您还可以通过单击“复制”图标来复制证书主体。 可修改的 指示是否可以修改证书。 有效值为 true或false,其中true指示可以修改证书。CKA_CERTIFICATE_TYPE 证书的类型。 提供了三种证书类型: X.509 公用密钥证书,WTLS 公用密钥证书和 X.509 属性证书。 CKA_CLASS 对象类。 对于证书,值为 Certificate。CKA_TOKEN 指示证书是否为令牌对象。 有效值为 true或false,其中true指示证书是令牌对象,false指示证书是会话对象。CKA_PRIVATE 指示证书是否为专用对象。 有效值为 true或false,其中true指示证书是专用对象,false指示证书是公共对象。CKA_CERTIFICATE_CATEGORY 证书的类别。 可用证书类别包括: 用户证书,CA 证书和其他最终实体证书。 缺省情况下,该值为 Unspecified。CKA_SERIAL_NUMBER 证书序列号的 DER 编码。 缺省情况下,该值为空。 CKA_ISSUER 证书颁发者的 DER 编码或 WTLS 编码,具体取决于证书类型。 缺省情况下,该值为空。 CKA_SUBJECT 证书主体的 DER 编码或 WTLS 编码 (取决于证书类型)。 缺省情况下,该值为空。 CKA_ID 公用和专用密钥对的密钥标识。 缺省情况下,该值为空。 CKA_LABEL 证书的描述。 缺省情况下,该值为空。
下载 EP11 证书
有关支持下载 EP11 证书的缺省服务访问角色,请参阅 服务访问角色。 如果要创建定制角色,请确保将以下操作分配给定制角色:
hs-crypto.keystore.listkeystoresbyidshs-crypto.keystore.listkeysbyids
有关创建定制角色的指示信息,请参阅 创建定制角色。
要下载 EP11 证书,请完成以下任一过程:
-
过程 1
- 在侧边菜单中选择 EP11 证书 选项卡,并在列表中查找要下载的证书。
- 单击 操作 图标 ,然后选择 下载证书。
-
过程 2
- 在侧边菜单中选择 EP11 证书 选项卡,并在列表中查找要下载的证书。
- 单击 操作 图标 ,然后选择 查看证书详细信息。
- 将显示一个侧面板以显示证书详细信息。 单击 下载 以下载证书。
下载 EP11 证书后,可以在 Web 浏览器的缺省下载文件夹中找到该证书。 证书的名称格式为 certificate-<serial number>.pem。 如果序列号为空,那么文件名为 certificate-<YYYYMMDD>.pem,其中 YYYYMMDD 是下载的时间戳记。
删除 EP11 证书
有关支持删除 EP11 证书的缺省服务访问角色,请参阅 服务访问角色。 如果要创建定制角色,请确保将以下操作分配给定制角色:
hs-crypto.keystore.listkeystoresbyidshs-crypto.keystore.listkeysbyidshs-crypto.keystore.deletekey
有关创建定制角色的指示信息,请参阅 创建定制角色。
如果要删除 EP11 证书,请完成以下步骤:
删除证书后,您无法访问与该证书关联的任何资源。 无法撤销此操作。
- 选择侧边菜单中的 EP11 证书 选项卡,并在列表中查找要删除的证书。
- 单击 操作 图标 ,然后选择 删除证书。
- 验证要删除的证书的名称,然后选中该框以确认删除。
- 单击 删除证书。
下一步
要了解有关 PKCS #11 API 的更多信息,请参阅 PKCS #11 API 参考。