华为云用户手册

数据安全 CloudPond整体上继承华为云数据安全治理要求，详见华为云数据安全白皮书。 数据安全传输：数据在CloudPond和中心云之间传输数据时均进行了加密。 数据安全使用：建议用户对数据进行识别和分类；对敏感的数据默认加密；使用安全组、网络ACL（Access Control Lists）对资源实施网络访问控制。此外建议您使用云审计服务（Cloud Trace Service，CTS），对用户访问数据的行为进行审计。 数据安全销毁：当用户停止使用CloudPond前，请先对CloudPond上需要保留的数据进行转储。和用户退订使用中心云上的资源一样，CloudPond上存储的数据会以符合业界标准的方式被安全的删除，确保删除的数据永远无法恢复。

安全责任共担 CloudPond整体上遵循华为云的安全责任共担模式，即华为云负责保护CloudPond基础设施的安全，用户负责保护CloudPond上运行应用程序的安全，这一点和使用中心云通用可用区的资源是类似的。 由于CloudPond部署于用户数据中心的特殊性，使用CloudPond时，用户还需要对CloudPond所部署的地理位置及其相关基础设施的安全负责，并确保CloudPond与中心云之间的网络安全性和可用性。

通信安全 中心云与CloudPond之间存在如下两类网络线路通信： 运维管理线路：该线路通过CloudPond内置VPN（Virtual Private Network）实现传输加密，保证网络通信安全。其相关数据为平台运维和服务管控层数据，不涉及用户业务数据通信。 业务互联线路：该线路通过网络加密技术实现传输加密，保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据，该传输数据和传输策略由用户VPC进行控制。

CloudPond基础设施安全 华为云致力于打造可信云平台，CloudPond整体上继承了华为云安全建设规范，具体安全方案细节请参见华为云安全白皮书。 CloudPond用户侧和平台侧分别实施了严格的安全隔离策略，华为云负责CloudPond平台的运维和安全运营，提供7*24小时安全监控运营服务。 CloudPond平台侧默认全部部署了主机安全服务，华为云会定期对平台侧执行漏洞扫描，并按照SLA（Service-Level Agreement）的要求及时安装补丁修复漏洞。 华为云对CloudPond平台侧的账号权限进行集中管理，并定期进行账号密钥轮换，以防止未经授权的访问。

基础限制 管理模式限制：CloudPond通过中心云控制台进行所有的管理操作，不提供本地管理界面或工具，也不支持离线环境下的管理操作。 硬件相关限制：CloudPond不支持用户设备入柜。 运维监控限制：CloudPond的运维和监控操作由华为云运维团队统一执行，用户可以通过CES对CloudPond上运行的资源状况进行监控，不能直接访问运维监控平台。 硬件种类和资源使用限制：用于在CloudPond站点中提供EVS云服务的硬件设备分为融合机型（融合节点，提供用户EVS服务和云平台运维管控组件服务）和存储机型（存储节点，提供用户EVS服务），其中，站点融合节点部署数量不超过4个。 用于在CloudPond站点中提供ECS云服务的硬件设备根据ECS Flavor种类分为虚拟化专用机型和裸机专用机型，根据机型和Flavor的不同，除去必要的管理开销外，剩余的所有资源将100%提供给业务使用。 CloudPond采用计算存储分离的设计，用户可按业务需求，按需单独扩展计算资源或存储资源。（D/I系列云服务器自带的本地盘例外）。

必选云服务使用限制 表1展示了ECS、EVS、VPC、EIP在CloudPond上使用的一些主要限制。 表1 必选云服务使用限制 云服务名称 主要限制 弹性云服务器ECS 边缘可用区的ECS不支持VNC（Virtual Network Console）登录方式，建议采用SSH（Linux）或者mstsc（Windows）等方式登录。 用户如果选择GPU加速型Pi2服务器，需要额外按年购买GPU License。 暂不支持对ECS执行如下操作：按需转包周期，加密，创建整机镜像（即整机备份），基于共享镜像创建虚拟机等。 ECS上运行Windows、RedHat等商业操作系统时，需要用户自行提供操作系统许可。 CloudPond支持的ECS规格请参考：规格清单（CloudPond）。 ECS支持本地虚拟机UEFI安全启动特性，目前在CloudPond场景中默认可开启该特性的计算实例类型为C7n型，其他资源暂不支持。 云硬盘EVS 当前支持高IO和超高IO云硬盘。 当前高IO云硬盘介质为HDD，超高IO云硬盘介质为NVMe SSD，暂不支持用户定制介质类型和大小。 当前云硬盘EVS采用三副本机制进行分布式部署，暂不支持其他部署模式。 暂不支持对EVS执行如下操作：备份，加密等。 当前云硬盘服务的块存储快照仅支持保存在边缘云本地。 虚拟私有云VPC 两个边缘小站的不同VPC，不支持通过VPC对等连接进行互通。 同一个VPC中，归属于不同边缘小站（即分布于不同边缘可用区）的子网不互通。 弹性公网IP EIP 通用可用区的EIP不能绑定边缘可用区的ECS，反之，边缘可用区的EIP也不能绑定通用可用区的ECS。 边缘小站1使用的EIP不能绑定归属于边缘小站2的ECS。 通用可用区的共享带宽不能添加边缘可用区的EIP，反之，边缘可用区的共享带宽也不能添加通用可用区的EIP。 CloudPond加密方式 CloudPond默认使用商密方案进行加密，特定配置和特性场景下可支持国密方案（按项目评估）。

可选云服务使用限制 CloudPond上支持的可选云服务的主要限制请参考各自云服务的产品文档。 额外限制：部分可选云服务在CloudPond上部署时，需要依赖CloudPond提供特定规格的计算资源和存储资源，具体情况请参考表2。 表2 可选云服务依赖计算资源种类 云服务名称 依赖CloudPond计算资源包含如下算力系列 云容器引擎CCE Turbo C/S/M/I/D系列 弹性文件服务SFS Turbo C系列 应用与数据集成平台ROMA Site C/S系列 数据治理中心DataArts Studio C系列 云桌面Workspace C/S系列 数据库安全服务DBSS C/S系列 Web应用防火墙 C/S系列 云堡垒机CBH C/S系列 MapReduce服务MRS C系列和I/D系列 主机迁移服务SMS C系列 企业主机安全HSS 所有系列 云数据仓库 GaussDB(DWS) I系列 云数据库RDS C/S系列

云手机服务介绍 云手机服务（KooPhone）是华为云面向政企、互联网等客户推出的一款优体验、高安全云手机服务，融合了ARM服务器虚拟化、音视频编解码、实时传输能力等核心技术，并引入华为丰富的应用生态，为更多带屏联网设备提供云算力和云应用。 KooPhone充分发挥端云协同的优势，提供端云交互、跨屏分享和互动、麦克风和摄像头等各类传感器的模拟仿真，以及应用和数据权限云端统一管控等多种功能特性，并基于华为全场景智慧生态满足客户不同应用诉求，可便捷安全地应用于移动办公、客服同屏互助、个人/家庭娱乐等多种场景。

与云手机服务器（CPH）的差异 云手机服务器（Cloud Phone Host，简称CPH），是基于华为云鲲鹏裸金属服务器在服务器上虚拟出N个带有原生安卓操作系统，具有虚拟手机功能的云手机服务器。简单来说，云手机服务器=云服务器+Android OS。您可以远程实时控制云手机，实现安卓APP的云端运行；也可以基于云手机服务器的基础算力，高效搭建应用，如云游戏、移动办公、直播互娱等场景。 云手机服务（KooPhone）是在CPH的基础上，提供了上层复杂的软件系统，更偏向于用户体验的提升，通过端云协同引擎、计算资源管理、用户账号鉴权认证、手机UI界面优化等等一系列的技术叠加，在CPH的基础上向用户提供了一个远程手机操作环境。 更多关于云手机服务器CPH的详细信息，请参见云手机服务器CPH产品介绍。

约束与限制 KooPhone服务使用时存在如下约束与限制： 仅限已通过华为云企业认证的用户购买使用。 用户不能使用KooPhone云手机进行挂机、刷单等灰产，违法以及违反华为安全要求等行为。违反相关要求，用户云手机会被受限/冻结。 云手机实例暂不支持规格变更（比如：变更云手机CPU核数、内存、存储空间大小）。如果需要调整规格，请将云手机实例退订后重新购买符合要求的规格。 华为云账户受限/冻结或者云手机资源进入保留期时，KooPhone云手机使用会受到限制（包括但不限于登录、重启、重置云手机等），用户应提前了解处理，避免影响业务。 保留期满仍未续费或充值，KooPhone将停止提供服务，存储在用户云手机实例中的数据将被删除，云手机实例将被释放。

通用云手机 通用云手机分为专业版和企业版，每个版本提供不同规格的云手机实例，当前仅提供专业版，详细介绍请参考表1。 表1 版本类型简介 版本 实例规格 特性说明 适用场景 专业版 4vCPUs | 8GB内存 | 32GB存储 | 最高分辨率720p 4vCPUs | 8GB内存 | 64GB存储 | 最高分辨率720p 8vCPUs | 16GB内存 | 128GB存储 | 最高分辨率1080p 8vCPUs | 16GB内存 | 512GB存储 | 最高分辨率1080p 端云协同：基于自研端云协议、音视频渲染和编解码算法，通过端侧与云侧SDK的配合，提供高清画质和流畅操作体验。 设备仿真：提供GPS、传感器、陀螺仪等与实体手机打通的虚拟仿真设备。 安全管控，包含防截屏、实时水印防篡改、应用安装黑白名单、端云音视频流、控制流的数据加密传输。 云机资源共享，提升性价比，面向中小型企业。 通用商务办公：随时随地使用PC、Pad等终端接入云手机，实现消息处理、流程审批、视频会议等移动办公 移动安全办公：在端侧和云侧严格管控，保证信息和数据安全。

KooPhone权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 KooPhone部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择 “区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效。如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KooPhone时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KooPhone服务，管理员能够控制IAM 用户仅能对某一模块进行指定的操作。 如表1所示，包括了KooPhone的所有系统角色。 表1 KooPhone系统权限 系统角色/策略名称 描述 角色类别 角色内容 KooPhone Administrator 具备KooPhone所有操作权限的角色，拥有该权限的用户可以拥有 KooPhone支持的全部权限。 系统角色 KooPhone Administrator角色内容 KooPhone ReadOnlyUser 具备KooPhone只读操作权限的用户。 系统角色 KooPhone ReadOnlyUser角色内容 表2列出了KooPhone常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 KooPhone 常用操作与系统权限关系 操作 KooPhone Administrator KooPhone ReadOnlyUser 购买云手机 √ × 查看组织和用户详情 √ √ 创建组织 √ × 添加部门 √ × 添加成员 √ × 查询云手机实例（云手机状态、名称等信息） √ √ 自定义实例列表参数 √ × 重启（云手机实例） √ × 开机（云手机实例） √ × 关机（云手机实例） √ × 续费 √ × 退订 √ × 应用卸载 √ × 删除（云手机实例） √ × 绑定/解绑用户 √ × 查询应用部署详情 √ √ 上传应用 √ × 卸载应用 √ × 安装应用 √ × 查询安全管控详情 √ √ 开启防截屏 √ × 关闭防截屏 √ × 开启视频水印 √ × 关闭视频水印 √ × 批量删除（应用黑白名单） √ × 创建名单（应用黑白名单） √ × 开启（应用黑白名单） √ × 禁用（应用黑白名单） √ × 修改（应用黑白名单） √ × 删除（应用黑白名单） √ × 开启（数据流传输加密） √ × 关闭（数据流传输加密） √ ×

KooPhone Administrator角色内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "Koophone:*:*" ] }] } } }

KooPhone ReadOnlyUser角色内容 { "Version": "1.1", "Statement": [ { "Action": [ "Koophone:*get*", "Koophone:*list*" ], "Effect": "Allow", } ] } } }

应用场景一：安全移动办公 企业的传统实体办公手机缺少防截屏、应用管控及监控等统一防护手段，信息安全防护困难；数据资产分散到各实体手机本地，难以沉淀、统计和管理；手机硬件资产易丢失和毁损，应用和数据更新周期长、维护成本高。 KooPhone在端侧提供防截屏、防拍照录像、加实时水印等安全特性，严格管控数据外泄；在云侧具备数据统一监控、安全加固，应用集中管理、一键分发、统一升级，系统漏洞和安全威胁统一修复和防范；提供比一般办公软件更便捷的接入方式、更丰富的应用生态，企业员工可以随时随地使用手机接入云手机，实现消息处理、视频会议等安全的移动办公。

应用场景二：远程客服协助 传统企业客服系统仅支持语音通话，无法给用户提供可视化、实时的远程沟通渠道，并且也无法对用户操作事后审计、举证。 KooPhone给企业客服提供互动式的用户触达通道，通过同屏分享、远程标注等能力实现与用户的可视化沟通和远程指导。用户接入简单，单击链接即可访问客服系统，无需安装App。业务数据云端留存，无用户信息泄露风险；操作记录可长时间保存，便于审计及行为异常分析，保障数据安全、可追溯。

通用云手机 通用云手机提供的功能详情请参见表1 表1 通用云手机功能概览 功能名称 功能描述 云手机实例管理 支持云手机实例关机、开机、重启、删除、绑定/解绑用户、应用卸载。 支持云手机实例运行、登录状态查询。 支持云手机实例绑定状态、到期时间查询。 端云协同引擎 提供端侧和云侧的音视频流编解码能力。 支持断网和网络切换后的自动重连。 支持音视频采样频率和码率的自动调整。 支持端云之间的应用上传。 端云设备仿真 支持触控、麦克风、摄像头、GPS、陀螺仪、加速度传感器、重力传感器、光线传感器的设备仿真能力。 组织和用户管理 支持组织和部门的管理。 支持组织和部门下用户的管理。 应用部署 支持应用上传和删除。 支持应用在云手机的批量安装和卸载。 支持应用部署任务查询。 安全管控能力 支持云手机防截屏能力。 支持应用安装黑白名单管控能力。 支持端云之间音视频流、控制流的数据加密传输。 支持管理员和用户实时监控云手机实例的网络流量。 云手机在推送视频流时叠加实时水印。 父主题： 产品功能

修订记录 发布日期 修订记录 2024-06-14 第九次发布。 本次变更说明如下：更新准备工作。 2023-2-2 第八次正式发布。 本次变更说明如下：更新“快手上手通用云手机”购买云手机。 2023-12-11 第七次正式发布。 本次变更说明如下： 更新步骤1：购买云手机。 更新登录并使用。 2023-10-31 第六次正式发布。 本次变更说明如下： 更新步骤1：购买云手机。 2023-8-8 第五次正式发布。 本次变更说明如下： 更新登录并使用。 2023-6-19 第四次正式发布。 本次变更说明如下： 购买云手机，新增按需计费说明。 步骤2：创建组织和用户，修改创建组织相关内容。 2023-6-6 第三次正式发布。 本次变更说明如下： 修改入门流程图。 新增步骤2：创建组织和用户。 步骤5：登录并使用，新增二维码下载方式。 2023-4-20 第二次正式发布。 本次变更说明如下： 根据控制台操作优化步骤1：购买云手机的操作步骤。 新增步骤2：创建组织和用户。 2023-3-31 第一次正式发布。

步骤5：登录并使用 打开KooPhone移动客户端。 首次登录时，您需要同意《隐私政策》、《用户协议》及《第三方SDK采集个人数据清单》才可继续使用云手机。 输入帐号、密码并获取验证码验证身份登录。 首次登录会询问您是否信任此浏览器？建议选择信任，当您下次登录时，系统将不再要求提供验证码。 图2右上角显示已绑定云手机数量，可以选择切换不同的云机，然后单击“进入云机”。 图2 云手机切换 执行结果 登录成功后，您将进入通用云手机桌面。 后续操作 单击桌面云手机悬浮图标，可查看云手机的网络信号，还可执行“重启云机”、“退出云机”、设置“导航按键”等操作。 您可正常使用云手机功能，如打电话、发短信、拍照。

步骤1：购买云手机 登录KooPhone管理控制台，在总览页的通用云手机卡片中，单击“立即购买”。 根据页面提示，完成基础配置，如表1所示。 表1 参数说明 参数 参数说明 样例 计费方式 支持包年/包月、按需共两种计费模式供您灵活选择。详细介绍请参考计费说明。 包年/包月 区域 不同区域的云服务产品之间内网互不相通。建议您选择最靠近您业务的区域，这样可以减少网络时延、提高访问速度。 华南-广州 云手机类型 每个版本提供不同规格的云手机实例。详细版本类型介绍请参考实例规格。 说明： 当前仅提供云手机专业版，暂不支持云手机企业版。 专业版 云手机名称 名称可自定义，但需符合命名规则：只能由英文字母、数字、中文字符、短横线-和下划线_组成，可输入14个字符。 KooPhone 购买时长 最短为1个月，最长为3年。 1（个月） 阅读并勾选同意协议，确认无误后单击“去支付”，并根据页面提示完成支付。

步骤2：创建组织和用户 首次购买云手机后，管理员需创建组织。创建完成后，该华为账号会自动成为组织创建者，即租户管理员，拥有该组织的所有管理权限。在“组织和用户管理”页面左上方可选择不同的组织。一个账号最多可以创建五个组织。 前提条件 已通过管理控制台购买云手机实例。 管理组织和用户需使用主账号登录，不支持IAM子账号操作。 操作步骤 登录KooPhone管理控制台，进入KooPhone云手机页面。 单击左侧导航栏“组织和用户管理”。 单击“创建组织”。根据页面提示完成创建组织并配置用户成员。具体操作请参考：创建组织、部门管理和成员管理。

操作步骤 以主账号登录ModelArts管理控制台。 在控制台左下方，单击“专属资源池”下拉框，选择“弹性集群”，进入资源池创建页面。 在资源池创建页面，单击“创建”，进入购买专属资源池页面。 进入购买专属资源池页面后，配置购买参数，各参数说明如表2-6所示。 表1 联盟信息配置参数 参数名称 说明 样例 名称 资源池的名称，创建时会随机生成一个名字。 pool-6e8a 描述 对创建的资源池进行说明。 - 使用场景 分为Standard弹性集群与Lite弹性集群，联邦学习对接MA需要选择Lite弹性集群。 ModelArts Lite 计费模式 选择Lite弹性集群目前默认包年/包月计费模式。 包年/包月 CCE集群 选择创建完成的CCE集群，如果没有可用的CCE集群，可单击右边的“创建集群”按钮，购买CCE集群。 - 自定义节点名称 集群节点名称，会随机生成，用户也可以根据自己需求来指定节点前缀名。 - 规格管理 选择规则类型、可用区、节点数量等。 - 购买时长 购买资源池的时间，用户可以根据续期选择，到期后，会自动清理。 - 自动续费 用户根据需求选择是否选择自动续费。 - 登录方式 选择登录方式，有密码和密钥对两种方式。 选择密码登录，默认用户名为“root”，需要设置密码用来登录节点后台。 选择密钥对，需要选择密钥对，如果没有密钥对，可以单击右边“创建密钥对”按钮创建。 -

示例流程 图1 给用户授权PCA权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予私有证书管理服务管理员权限“PCA FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云证书管理服务，如果未提示权限不足，表示“PCA FullAccess”已生效。

修订记录 发布日期 修改说明 2024-05-30 第十三次正式发布。 新增标签管理章节，增加对接TMS标签管理的描述。 2023-1-11 第十一次正式发布。 刷新购买私有CA、申请私有证书章节，支持SM2算法。 刷新下载私有证书章节，增加国密证书文件下载说明。 新增配置证书吊销列表章节。 2022-11-16 第十次正式发布。 新增PCA自定义策略。 优化 购买私有CA 申请私有证书 2022-10-31 第九次正式发布。 优化文档架构。用户指南拆分为SSL证书管理和私有证书管理两本手册。 优化PCA权限管理、PCA关键操作审计管理章节内容。 2021-11-01 第八次正式发布。 根据界面控制台显示修改刷新资料。 调整文档架构。 2021-08-16 第七次正式发布。 私有证书管理服务商用版本发布，刷新相关章节内容。 2020-08-31 第六次正式发布。 优化购买私有CA，增加根CA最长有效期的说明。 优化激活私有CA，增加子CA最长有效期的说明。 2020-06-19 第五次正式发布。 优化管理私有CA、管理私有证书章节，根据控制台显示参数调整而刷新资料相关描述。 2020-04-29 第四次正式发布。 优化管理私有证书章节，支持配置申请证书的密钥长度、证书用途等参数信息。 2020-03-31 第三次正式发布。 新增章节下载私有证书。 删除“导出私有证书”、“导出私钥”章节。 2020-02-28 第二次正式发布。 申请私有证书章节中，新增支持选择证书请求文件的内容和描述。 私有证书管理服务的服务级别改为全局级别，刷新用户指南相关内容。 根据界面风格改动，刷新资料截图。 2020-01-17 第一次正式发布。

私有证书安装说明 私有证书下载后需要安装到服务器上进行使用，非国密证书的安装操作与国际标准SSL证书安装操作相同，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书

下载的证书文件说明 根据申请私有证书时，选择的“证书请求文件”方式（“系统生成文件”和“自己生成文件”）的不同，下载文件也有所不同。 系统生成文件 申请私有证书时，如果“证书请求文件”选择的是“系统生成文件”，则下载文件说明如表2所示。 表2 下载文件说明（一） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat keystorePass.txt：证书密码。 server.jks：证书文件。 Nginx server.crt：证书文件，分别为服务器证书和证书链。 server.key：证书私钥文件。 Apache chain.crt：证书链文件。 server.crt：证书文件。 server.key：证书私钥文件。 IIS keystorePass.txt：证书密码。 server.pfx：证书文件。 其他 chain.pem：证书链文件。 server.key：证书私钥文件。 server.pem：证书文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 自己生成文件 申请私有证书时，如果“证书请求文件”选择的是“自己生成文件”，则下载文件说明如表3所示。 表3 下载文件说明（二） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat server.crt：证书文件。 chain.crt：证书链文件。 Nginx server.crt：证书文件 Apache server.crt：证书文件。 chain.crt：证书链文件。 IIS server.crt：证书文件。 chain.crt：证书链文件。 其他 cert.pem：证书文件。 chain.pem：证书链文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥文件 encCert.pem：加密证书文件 signCert.pem：签名证书文件

私有证书申请概述 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任，在Internet上不受信任。如需使用在Internet上受信任的证书，请购买SSL证书，具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示，流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 购买私有CA 根据需要购买私有CA。 2 激活私有CA 购买私有CA实例后，需要激活才能用于签发证书。 您可以选择激活已购买的私有CA实例为根CA或子CA。激活后私有CA正式生效，并且可用于签发私有证书。 3 申请私有证书 通过已激活的私有CA，申请私有证书。 4 下载私有证书 申请完成后，即可下载私有证书并在服务器上安装使用。

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

私有CA所有者和接受者权限说明 所有者可以对私有CA执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 私有CA接受者支持的操作列表所示。 表1 私有CA接受者支持的操作列表 角色 支持的操作 操作说明 接受者 pca:ca:export 通过控制台或API进行访问 pca:ca:get 通过控制台或API进行访问 pca:ca:listTags 通过控制台或API进行访问 pca:ca:issueCert 通过控制台或API进行访问 pca:ca:issueCertByCsr 通过控制台或API进行访问 pca:ca:revokeCert 通过控制台或API进行访问

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略有如下两种应用方式： 1. 事后检查 —— 资源标签如果违反标签策略，则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。