用户指南

Transcription

1 SSL 证书管理 用户指南 文档版本 09 发布日期 华为技术有限公司

2 版权所有 华为技术有限公司 2018 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 商标声明 和其他华为商标均为华为技术有限公司的商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有 注意 您购买的产品 服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品 服务或特性可能不在您的购买或使用范围之内 除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证 由于产品版本升级或其他原因, 本文档内容会不定期进行更新 除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述 信息和建议不构成任何明示或暗示的担保 华为技术有限公司 地址 : 深圳市龙岗区坂田华为总部办公楼邮编 : 网址 : i

3 目录 目录 1 产品简介 什么是 SSL 证书管理? 什么是 SSL 证书? 使用场景 访问与使用 如何访问 如何使用 与其他云服务的关系 审计 云审计服务支持的 SCM 操作列表 查看云审计日志 上传证书 一键申请免费证书 补全信息 管理证书 查看证书 查看审核进度 修改证书名称和描述 取消申请 下载证书 推送证书 删除证书 吊销证书 常规类 如何获取证书? 什么是 DNS 验证? 一个 SSL 证书能够绑定几个域名? 为什么证书状态在客户补全信息后长时间停留在审核中? 免费证书审核需要多久? SSL 数字证书的区别以及如何选择? ii

4 目录 HTTPS 与 HTTP 有什么不同? SSL 证书有什么优势? 证书推送到云产品有哪些常见问题? 为什么要使用无密码保护的私钥? 哪些网站必须启用 HTTPS 加密? 如何解决 chrome 浏览器的提示错误? 有些电脑浏览器或者手机浏览器提示证书不可信怎么办? 服务器上安装 SSL 证书会不会影响到用户浏览网页的速度? 浏览器是如何检查 SSL 证书是否正常工作的? 服务器换了 IP 地址是否导致原来的 SSL 证书不能使用? 操作类 如何在 Tomcat 上安装 SSL 证书? 如何在 Nginx 上安装 SSL 证书? 如何在 Apache 上安装 SSL 证书? 如何在 IIS 上安装 SSL 证书? 如何填写证书中绑定的域名? 什么是公钥和私钥? 如何在证书审核过程中查询域名管理员邮箱并进行验证? 如何选择证书类型 证书品牌 保护域名数量? 订单提交审核后需要做什么? 为什么收到了 Symantec/GeoTrust 的通知后订单状态仍没有变化呢? 订单误关闭 - 信息填写错误该怎么办呢? 如何将证书应用到华为云的其它产品? 所有子域名类型的通配符证书都支持哪些域名? 申请 SSL 证书时应该使用哪个域名申请? 主流数字证书都有哪些格式? 如何解决 审核失败 - 主域名不能为空 的问题? 域名未通过安全审核该怎么办? 如何制作 CSR 文件?...64 A 修订记录 iii

5 1 产品简介 1 产品简介 1.1 什么是 SSL 证书管理? 功能介绍 SSL 证书管理 (SSL Certificate Manager,SCM) 是一个 SSL(Secure Socket Layer) 证书管理平台, 平台联合全球知名数字证书服务机构为用户提供购买 SSL 证书的功能, 用户也可以将本地的外部 SSL 证书上传到平台, 实现用户对内部和外部 SSL 证书的统一管理 证书管理提供以下功能 : 购买证书 用户可以通过 SSL 证书管理免费获取的域名型 (DV) SSL 证书或者购买其它类型的证书 上传证书 用户可以将本地的外部证书上传到证书管理服务平台进行管理维护 管理证书 用户可以修改证书名称 编辑证书描述信息 下载和删除证书 1.2 什么是 SSL 证书? SSL 证书类型 SSL 证书是一种遵守 SSL 协议的服务器数字证书, 由受信任的根证书颁发机构颁发, 主要作用如下 : 网站身份验证, 确保数据发送到正确的客户端和服务器 在客户端和服务器端之间建立加密通道, 保证数据在传输过程中不被窃取或篡改 目前 SSL 证书管理提供了以下 SSL 证书类型 : 企业型 (OV): 企业型 (Organization Validation, 简称 OV)SSL 证书 企业型专业版 (OV Pro): 企业型 (Organization Validation Pro, 简称 OV Pro) SSL 证书 1

6 1 产品简介 增强型 (EV): 增强型 (Extended Validation, 简称 EV)SSL 证书 增强型专业版 (EV Pro) : 增强型专业版 (Extended Validation Pro, 简称 EV Pro)SSL 证书 域名型 (DV): 域名型 (Domain Validation, 简称 DV)SSL 证书 1.3 使用场景 华为云 SCM 能够让用户直接获取 SSL 证书, 用户将证书部署到网站 企业应用或其他服务后, 以最小成本将服务使用的 HTTP 协议替换成 HTTPS 协议, 可以帮助用户避免 HTTP 协议的如下隐患 : HTTP 协议在客户端与服务器端之间使用明文传输数据, 可以被轻松截取或篡改 HTTP 协议不能鉴别真实与虚假网站, 因此容易被欺诈 钓鱼网站利用从而导致用户信息泄露 财产损失 1.4 访问与使用 如何访问 如何使用 请使用管理控制台方式访问 SSL 证书管理 如果用户已注册公有云, 可直接登录管理控制台, 从主页选择 安全 > SSL 证书管理 用户可以在 SSL 证书管理平台获取 SSL 证书, 再将其部署到 Tomcat Nginx Apache IIS 服务器 与其他云服务的关系 与弹性负载均衡的关系 与云审计服务的关系 用户可以在 SSL 证书管理平台购买 SSL 证书, 再将其部署到 ELB 中 云审计服务 (Cloud Trace Service,CTS) 记录 SSL 证书管理平台的相关的操作事件, 方便用户日后的查询 审计和回溯, 具体请参见 云审计服务用户指南 表 1-1 云审计服务支持的证书管理服务操作列表 操作名称 资源类型 事件名称 修改证书 scm modifyscmcert 新建证书订单 scm createscmnewcert 购买证书 scm purchasescmcert 上传用户认证信息 scm uploadscmusermessage 2

7 1 产品简介 操作名称 资源类型 事件名称 补全证书信息 scm completescmcert 下载证书 scm downloadscmcert 删除证书 scm deletescmcert 取消证书审核 scm cancelscmcert 吊销证书 scm revokescmcert 上传证书 scm uploadscmcert 推送证书到 ELB scm pushscmcerttoelb 取消推送证书到 ELB scm unpushscmcerttoelb 3

8 2 审计 2 审计 SSL 证书管理通过云审计服务 (Cloud Trace Service,CTS) 为用户提供云服务资源的操作记录, 记录内容包括用户从管理控制台或者开放 API 发起的云服务资源操作请求以及每次请求的结果, 供用户查询 审计和回溯使用 2.1 云审计服务支持的 SCM 操作列表 云审计服务支持的 SCM 操作列表如表 2-1 所示 表 2-1 云审计服务支持的证书管理服务操作列表 操作名称 资源类型 事件名称 修改证书 scm modifyscmcert 新建证书订单 scm createscmnewcert 购买证书 scm purchasescmcert 上传用户认证信息 scm uploadscmusermessage 补全证书信息 scm completescmcert 下载证书 scm downloadscmcert 删除证书 scm deletescmcert 取消证书审核 scm cancelscmcert 吊销证书 scm revokescmcert 上传证书 scm uploadscmcert 推送证书到 ELB scm pushscmcerttoelb 取消推送证书到 ELB scm unpushscmcerttoelb 4

9 2 审计 2.2 查看云审计日志 开启了云审计服务后, 系统开始记录 SCM 资源的操作 云审计服务管理控制台保存最近 7 天的操作记录 步骤 1 步骤 2 步骤 3 步骤 4 登录管理控制台 单击页面上方的 服务列表, 选择 管理与部署 > 云审计服务, 进入云审计服务信息页面 单击左侧导航树的 事件列表, 进入事件列表信息页面 单击事件列表右上方的 筛选, 设置对应的操作事件条件 当前事件列表支持四个维度的组合查询, 详细信息如下 : 事件来源 资源类型 和 筛选类型 在下拉框中选择查询条件 其中, 事件来源 选择 SC 筛选类型选择事件名称时, 还需选择某个具体的事件名称 选择资源 ID 时, 还需选择或者手动输入某个具体的资源 ID 选择资源名称时, 还需选择或手动输入某个具体的资源名称 操作用户 : 在下拉框中选择某一具体的操作用户, 此操作用户指用户级别, 而非租户级别 事件级别 : 可选项为 所有事件级别 normal warning incident, 只可选择其中一项 起始时间 结束时间 : 可通过选择时间段查询操作事件 步骤 5 单击 查询, 查看对应的操作事件 步骤 6 在需要查看的记录左侧, 单击展开该记录的详细信息, 展开记录如图 2-1 所示 图 2-1 展开记录 步骤 7 在需要查看的记录右侧, 单击 查看事件, 弹出一个窗口, 如图 2-2 所示, 显示了该操作事件结构的详细信息 5

10 2 审计 图 2-2 查看事件 ---- 结束 6

11 3 上传证书 3 上传证书 操作场景 该任务指导用户将本地的外部 SSL 证书上传到 SSL 证书管理平台 说明 目前 SSL 证书管理平台只支持上传 PEM 格式的证书 前提条件 已获取管理控制台的登录帐号与密码 已获取 PEM 格式的 SSL 证书且证书私钥无密码保护 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 在证书列表左上角, 单击 上传原有证书, 进入 上传原有证书 界面 在 上传原有证书 页面, 按要求输入证书信息, 各参数说明如表 3-1 所示 表 3-1 上传证书参数说明 参数证书名称证书文件证书私钥 说明 用户自定义 以文本方式打开待上传证书里的 PEM 格式的文件 ( 后缀名为.pem ), 将证书内容复制到此处 以文本方式打开待上传证书里的 KEY 格式的文件 ( 后缀名为.key ), 将私钥复制到此处 步骤 4 单击 确定, 完成上传证书, 如图 3-1 所示 7

12 3 上传证书 图 3-1 上传原有证书 说明 上传的原有证书和秘钥必须是一一对应的 保证私钥无密码保护 ---- 结束 8

13 4 一键申请免费证书 4 一键申请免费证书 操作场景 该任务指导用户如何一键申请免费证书 前提条件 已获取管理控制台的登录帐号与密码 操作步骤 步骤 1 步骤 2 登录管理控制台 选择 安全 > SSL 证书管理, 在证书列表左上角, 单击 申请免费证书, 完成免费证书申请, 如图 4-1 所示 图 4-1 申请免费证书 说明 ---- 结束 一个用户最多可以申请 20 张免费证书 免费证书的签发由系统自动完成, 申请者按要求完成配置后即可获得证书, 因此无法加速 同时, 免费证书建议只用于测试, 华为云不提供免费证书安装部署的咨询服务 完成免费证书申请后, 证书 状态 为 待补全信息 9

14 5 补全信息 5 补全信息 操作场景 成功购买证书后, 用户还需要为证书绑定域名 补全用户信息以及配合发证机构验证域名的所属权 所有信息通过审核后, 证书颁发机构才签发证书 前提条件 已获取管理控制台的登录帐号与密码 已购买证书的状态为 待补充信息 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 在左侧导航树中选择 证书管理, 进入 SSL 证书列表界面 在购买的证书所在行的 操作 列中, 单击 更多, 在弹出的区域框中, 选择 补全信息, 补全 域名信息 企业组织信息 和 联系方式 1. 补全域名信息, 证书请求文件 可以选择 在线生成 CSR 或者 粘贴已有 CSR, 在 绑定域名 配置框中, 输入证书绑定的域名, 如图 5-1 所示 说明 CSR 即证书签名申请, 获取 SSL 证书, 需要先生成 CSR 文件并提交给证书颁发机构 (CA) CSR 包含了公钥和标识名称 (Distinguished Name), 通常从 Web 服务器生成 CSR, 同时创建加解密的公钥私钥对 10

15 5 补全信息 图 5-1 域名信息 注意 建议您使用系统提供的 在线生成 CSR 功能, 避免出现内容不正确而导致的审核失败 粘贴已有 CSR 即手动生成的 CSR 文件, 手动生成 CSR 文件的同时会生成私钥文件, 请务必妥善保管和备份您的私钥 证书服务系统对 CSR 文件的密钥长度有严格要求, 密钥长度必须是 2,048 位, 密钥类型必须为 RSA 2. ( 仅企业 组织单位需要补充此信息 ) 补全企业组织信息, 如图 5-2 所示, 参数说明如表 5-1 所示 图 5-2 企业组织信息 11

16 5 补全信息 表 5-1 参数说明 参数名称公司名称公司地址公司邮编公司电话公司机构号码银行开户许可企业营业执照 参数说明 营业执照注册公司的全称 营业执照注册的地址 公司所在区域的邮编 可正常使用的公司联系电话 公司机构代码取自公司的统一社会信用代码 (18 位 ) 中的第 9~17 位的一个 9 位字符 统一社会信用代码可以在国家企业信用信息公示系统 ( index.html) 中查询 举例, 如华为技术有限公司的统一社会信用代码是 , 那么 9~17 位的数字是 , 反馈时需要在倒数第二位后增加中划线, 因此最终需要填写的 公司机构号码 是 ( 可选 ) 单击 上传文件, 上传银行开户许可证电子件 单击 上传文件, 上传企业营业执照电子件 3. 补全联系方式, 如图 5-3 所示 图 5-3 联系方式 表 5-2 参数说明 参数名称参数说明取值样例 申请人姓名请输入您的姓名 张三 12

17 5 补全信息 参数名称参数说明取值样例 申请人电话 申请人邮箱 1. 输入可以正常联系您的 11 位电话号码 2. 单击 免费获取短信验证码, 在配置框中正确输入您收到的验证码 请输入可以正常收到邮件的邮箱地址 注意该邮箱会收到华为云发送的通知邮件 ( 证书签发通知 ),CA 中心发来的认证邮件将发送到域名管理员的邮箱, 请您提交审核后务必第一时间登录域名管理员的邮箱进行查收和认证 zs@example.com 步骤 4 确认填写的信息无误后, 阅读 SSL 证书管理 (SCM) 免责声明 和 隐私政策声明, 并勾选 我已阅读 理解并同意..., 单击 确定 证书补全信息完成, 页面返回到证书列表, 状态更新为 审核中 说明 ---- 结束 根据用户填写的信息,SCM 自动生成证书请求文件 (Certificate Signing Request,CSR) 13

18 6 管理证书 6 管理证书 6.1 查看证书 操作场景 该任务指导用户查看已购买的证书, 包括已购买和上传的证书 前提条件 已获取管理控制台的登录帐号与密码 已购买证书或者已上传原有证书 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书管理界面 用户可以通过选择 所有状态 或者输入证书名称 / 绑定域名的方式筛选证书列表 如图 6-1 所示, 证书状态说明如表 6-1 所示 图 6-1 证书列表 表 6-1 证书状态说明 证书状态 待支付 待补全信息 说明 购买的证书还未付款 购买的证书没有提交域名和用户信息 14

19 6 管理证书 证书状态审核中审核失败已签发已过期托管中 说明 购买的证书已提交域名和用户信息, 正在等待域名注册平台 DNS 验证及用户信息验证的结果 用户信息验证失败 在域名注册平台 DNS 验证成功以及用户信息验证通过 证书已过有效期 上传的证书的状态为托管中 步骤 4 单击证书名称, 查看该证书的详细信息 ---- 结束 6.2 查看审核进度 操作场景 该任务指导用户查看已补全信息的域名审核进度, 即域名注册平台 DNS 验证和用户信息验证的结果 前提条件 已获取管理控制台的登录账号与密码 已购买证书或者已上传原有证书 证书的 状态 为 审核中 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书管理界面 在目标域名所在行的 操作 列, 单击 查看审核进度, 如图 6-2 所示 图 6-2 查看审核进度 步骤 4 若 验证状态 为 待 DNS 验证域名所有权, 请按 如何进行 DNS 验证 提示完成 DNS 验证, 如图 6-3 所示 15

20 6 管理证书 图 6-3 DNS 验证 说明 ---- 结束 DNS 验证成功以及用户信息验证通过后, 证书 状态 更新为 已签发 6.3 修改证书名称和描述 操作场景 该任务指导用户修改证书名称和描述信息, 包括购买和上传的证书 证书描述信息主要用于用户对证书进行自定义备注 前提条件 已获取管理控制台的登录帐号与密码 已购买证书或者已上传原有证书 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书管理界面 单击需要修改的证书名称, 进入证书修改和描述页面 步骤 4 单击 证书名称 栏后的展开编辑框, 如图 6-4 所示 16

21 6 管理证书 图 6-4 修改证书名称 步骤 5 在编辑框中重新输入证书的名称, 单击保存修改的证书名称, 页面右上角弹出 修改成功, 则说明修改证书名称成功, 如图 6-5 所示 说明 证书名称不能重复 图 6-5 保存修改的证书名称 步骤 6 单击 描述 栏后的展开编辑框, 在编辑框中输入描述信息后, 单击保存修改的描述信息, 页面右上角弹出 修改成功, 则说明修改证书描述信息成功, 如图 6-6 所示 图 6-6 修改证书描述 ---- 结束 17

22 6 管理证书 6.4 取消申请 操作场景 该任务指导用户取消申请 当用户已提交审核, 域名注册平台 DNS 或者用户信息正在审核中, 此时用户可以申请取消证书 取消证书后,CA 将终止审核, 请谨慎操作 需要注意, 由于处理流程的原因, 可能您选择取消时 CA 已经审核通过, 那么您的取消申请将会失败 因此, 是否取消成功以华为云 SCM 证书列表呈现最终状态为准 前提条件 已获取管理控制台的登录帐号与密码 证书状态为 审核中 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书列表界面 在目标证书所在行的 操作 列, 单击 取消, 如图 6-7 所示 图 6-7 撤回证书 步骤 4 在弹出的 取消证书 对话框中, 单击 确定, 页面右上角弹出 取消申请流程成功, 则说明取消证书的申请流程提交成功 此时, 证书的状态仍然为 审核中, 待服务审核取消证书申请流程通过后, 取消证书成功, 证书的状态切换为 待补充信息 ---- 结束 6.5 下载证书 操作场景 该任务指导用户在 SSL 证书管理平台下载证书, 只有购买的证书且证书状态为 已签发 或 已过期 时, 才可以下载 18

23 6 管理证书 前提条件 已获取管理控制台的登录帐号与密码 证书状态 为 已签发 或 已过期 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书列表界面 在需要下载的证书所在行的 操作 列, 单击 下载, 如图 6-8 所示 图 6-8 下载证书 步骤 4 步骤 5 在 下载 页面, 单击 下载证书, 浏览器自动执行下载任务 按照界面指导步骤, 完成证书安装 在 Tomcat 上安装 SSL 证书的详细指导操作请参见如何在 Tomcat 上安装 SSL 证书? 在 Nginx 上安装 SSL 证书的详细指导操作请参见如何在 Nginx 上安装 SSL 证书? 在 Apache 上安装 SSL 证书的详细指导操作请参见如何在 Apache 上安装 SSL 证书? 在 IIS 上安装 SSL 证书的详细指导操作请参见如何在 IIS 上安装 SSL 证书? ---- 结束 6.6 推送证书 操作场景 该任务指导用户将 SSL 证书一键推送到负载均衡 (ELB) 等其它华为云产品中 前提条件 已获取管理控制台的登录帐号与密码 证书的状态为 已签发 已到期 或者 托管中 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书列表界面 在需要推送的证书所在行的 操作 列中, 单击 推送, 进入云产品推送界面, 如图 6-9 所示 19

24 6 管理证书 图 6-9 证书列表 步骤 4 在需要推送的目标服务所在行的 操作 列中, 单击 推送, 在弹出的对话框中, 单击 确定, 在页面右上角弹出 推送证书成功, 表示 SSL 证书推送给目标服务成功, 如图 6-10 所示 SSL 证书推送成功后, 该云产品服务的 状态 为 已推送 图 6-10 推送证书 说明 若需要取消已推送的 SSL 证书, 在需要取消推送的目标服务所在行的 操作 列中, 单击 取消推送 ---- 结束 6.7 删除证书 操作场景 该任务指导用户删除不需要的证书 证书删除后将无法恢复, 请谨慎操作 前提条件 已获取管理控制台的登录帐号与密码 购买的证书状态为 待支付 或者 已过期 上传的证书状态为 托管中 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书管理界面 在需要删除的证书所在行的 操作 列, 单击 删除, 如图 6-11 所示 20

25 6 管理证书 图 6-11 删除证书 步骤 4 在弹出的对话框中, 单击 确定, 页面右上角弹出 删除证书成功, 完成证书删除 ---- 结束 6.8 吊销证书 操作场景 该任务指导用户吊销不需要的证书或者丢失私钥的证书 吊销证书后, 将清除该证书所有的记录, 包括 CA 机构的记录, 且无法恢复, 请谨慎操作 前提条件 已获取管理控制台的登录帐号与密码 证书的状态为 已签发 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书列表界面 在需要吊销的证书所在行的 操作 列中, 单击 吊销, 如图 6-12 所示 图 6-12 吊销证书 步骤 4 在弹出的对话框中, 输入吊销的原因, 单击 确定, 在页面的右上角弹出 吊销证书成功, 表示吊销证书申请已成功提交审核, 等待审核通过后即吊销成功, 如图 6-13 所示 21

26 6 管理证书 图 6-13 吊销证书对话框 ---- 结束 22

27 7.1 常规类 如何获取证书? 用户可以在证书管理界面, 选择需要获取的证书, 单击所在行 操作 列的 下载, 下载已签发的证书 什么是 DNS 验证? DNS 验证, 是指在域名注册平台通过解析指定的 DNS 记录, 验证域名所有权 DNS 验证操作指引 以华为云云解析服务为例, 为申请证书的域名 domain.com 添加一条记录类型为 TXT 的 DNS 记录 gw0...hj37i4xai8m7uii2a23l 步骤 1 步骤 2 登录管理控制台 选择 网络 > 云解析服务, 在左侧导航树中选择 公网域名, 进入公网域名列表界面, 如图 7-1 所示 图 7-1 公网域名列表界面 步骤 3 在页面的右上角, 单击 创建公网域名, 进入 创建公网域名 页面, 如图 7-2 所示 23

28 图 7-2 创建公网域名 步骤 4 在 域名 的配置框中, 输入您要解析域名的主域名 domain.com, 并单击 确定 步骤 5 在域名列表中, 单击添加的主域名名称, 进入该域名的记录集页面, 如图 7-3 所示 图 7-3 记录集列表 步骤 6 在页面右上角, 单击 添加记录集, 进入 添加记录集 页面, 如图 7-4 所示, 参数说明如表 7-1 所示 24

29 图 7-4 添加记录集 表 7-1 添加记录集参数说明 参数名称 参数说明 取值样例 主机记录 该域名对应的主机记录 _dnsauth 类型 选择 TXT- 文本记录 TXT- 文本记录 线路类型 默认选择 全网默认 全网默认 TTL( 秒 ) 默认选择 5 分钟 5 分钟 值 该域名对应的 TXT 主机记录值 输入时, 必须用双引号引用该记录值 gw0...hj37i4 xai8m7uii2a23l 25

30 步骤 7 单击 确定, 记录集添加成功 说明 ---- 结束 服务默认每隔 10 分钟会检测刷新一次证书状态, 若 DNS 验证通过, 状态更新为 已签发 一个 SSL 证书能够绑定几个域名? 域名类型 选择 单域名 和 泛域名 时, 域名数量限制为 1 个 域名类型 选择 多域名 时, 域名数量范围为 2~ 为什么证书状态在客户补全信息后长时间停留在审核中? 申请收费证书时, 请注意在补全信息时, 如下几个关键信息的准确性, 信息准确可保证证书第一时间签发 公司名称 : 公司名称要与营业执照上的公司名称保持完全一致 公司电话 : 非常重要, 公司电话最好写成第三方公共信息平台 (114) 上可查到的电话或者工商局登记的电话, 鉴证人员通过该电话直接或间接 ( 请接电话人员提供证书联系人电话号码 ) 联系到证书联系人, 与证书联系人确认证书申请事宜和信息, 请保持电话畅通 申请确认 非常重要, 请确保该邮箱地址为申请证书的联系人邮箱地址 说明 需注意, 当涉及到签证域名相关信息确认时, 需要保证域名管理员邮箱可对签证信息进行回复 如果在申请证书时, 联系人信息及电话为域名管理员, 申请确认 为域名管理员邮箱 ( 后续相关证书签信息的确认 变改都会发到该域名管理员邮箱 ), 这样会使得签证流程最顺利 当申请的证书为 EV 证书时, 邮箱必需为企业邮箱或者收费邮箱, 不能为免费邮箱 域名需关闭域名保护功能, 这样签证人员才可以查到你的域名对应的域名管理员邮箱 按照证书申请流程, 证书的签发方需要对提交的信息进行确认, 通过后才会签发证书, 因此, 签发证书的审核流程也依赖用户的配合 审核步骤如下 : 步骤 1 步骤 2 步骤 3 步骤 4 检查域名是否设置为隐私 ( 不对外呈现域名运营者信息 ), 如果设置了需用户短期公开该信息 审核通过后, 用户可重新设置隐私保护 若域名未设置隐私,CA 机构会给域名管理员邮箱发送一封验证邮件, 请登录域名管理员的邮箱, 确认链接 步骤 2 得到确认后,CA 机构会通过企业在国家企业信用信息公示系统 ( 中可查询到的公司电话 ( 若该电话无法接通,CA 机构会联系预留的公司电话 ) 致电该企业, 进行电话验证 步骤 3 得到确认后,CA 机构会要求公司电话的接听人提供申请人的联系方式, 该联系方式必须与申请单中反馈的信息一致, 否则验证不通过 ---- 结束 免费证书审核需要多久? 按照证书申请流程,CA 机构 ( 证书的签发方 ) 需要对提交的信息进行确认, 通过后才会签发证书 26

31 免费证书即域名型 (DV) 证书是由 CA 机构签发系统自动检查域名授权配置, 无人工审核,DNS 配置正确的情况下可快速颁发 因此, 签发证书的审核流程也依赖用户的配合, 域名型 (DV) 证书需要用户正确配置 DNS 的主机记录后, 一般情况下, 等待 10 分钟 -5 小时左右, 就能正常发证了, 可参照 DNS 验证进行 DNS 配置 如果您确认已经配置了 DNS, 可以在 windows 的电脑上使用 cmd 工具来进行检查 操作步骤如下 : 步骤 1 在 cmd 里输入命令 nslookup -qt=txt _dnsauth.xxxx.com, 如下图所示 : 其中 : 命令 nslookup -qt=txt _dnsauth.xxxx.com,_dnsauth.xxxx.com 需要替换为客户的主机记录 取值为客户在查看审核进度页面时, 页面上显示的主机记录, 如图 7-5 所示 图 7-5 查看主机记录 步骤 2 对返回的结果进行检查, 比对 cmd 命令返回内容和客户在查看审核进度页面时显示的记录值是否一致 27

32 注意 一定要检查客户是否正确配置了 DNS 记录,DNS 没有配置正确是无法签发证书的 如果 cmd 命令返回值如图 7-6 所示, 说明根本没配置, 请参考操作指引 ( 链接 : support.huaweicloud.com/scm_faq/scm_01_0019.html) 进行操作 图 7-6 找不到 如果您确定已经配置了, 但是 cmd 命令返回值依然是上图这种的, 有两种原因 : 1. 配置的生效时间过长, 生效时间还未到, 因此无法查到数据 可以检查生效时间 (TTL) 是否设置过长, 若设置过长可以把时间修改得短一点 不同云服务提供商的云解析服务配置不一定一样, 如华为云的 DNS( 云解析服务 ) 默认是 5 分钟后生效 若您不愿意修改生效时间, 只能等生效时间过了之后再进行检查 2. 配置出错 出错的原因可能是 主机记录 或 类型 填写错误 28

33 图 7-7 添加记录集 ---- 结束 SSL 数字证书的区别以及如何选择? SSL 证书管理提供了域名型 (DV) 企业型 (OV) 增强型 (EV) 企业型专业版 (OV Pro) 增强型专业版 (EV Pro) 五种 SSL 数字证书和 GeoTrust Globalsign Symantec CFCA 四种品牌供您选择, 您可以根据业务需求选择相应的证书和品牌, 各个品牌的证书之间的对比说明如表 7-2 所示 表 7-2 各种证书之间的区别 证书类型可选择的品牌区别 域名型 (DV) Symantec Geotrust 浏览器上有绿锁 安全和 https 的标记 对域名所有权进行验证, 满足绑定多域名和泛域名的需求, 快速颁发, 经济实惠, 保护网站数据安全 适合个人, 中小企业 29

34 证书类型可选择的品牌区别 企业型 (OV) GeoTrust Globalsign Symantec CFCA 增强型 (EV) GeoTrust Globalsign Symantec CFCA 企业型 SSL 证书, 浏览器上有绿锁 安全和 https 的标记 对申请公司单位做严格的身份审核验证, 保护内外部网络上敏感数据传输 适合中小型企业应用 电商等服务 增强型 SSL 证书, 浏览器上有绿锁 安全和 https 的标记 并显示完整的单位名称 对申请者做严格的身份审核验证, 信任等级高 适合有严格安全要求的大型企业 企业型专业版 (OV Pro) 增强型专业版 (EV Pro) Symantec Symantec 企业型专业版 SSL 证书, 浏览器上有绿锁 安全和 https 的标记 安全加密算法强度更高, 并可提供漏洞评估服务和恶意软件扫描 适合对数据安全有更高要求的中小型企业 增强型专业版 SSL 证书, 浏览器上有绿锁 安全和 https 的标记 并显示完整的单位名称 加密性能好, 对申请者做严格的身份审核验证, 信任等级高 适合如金融 保险 银行等有更高安全要求的机构和组织 HTTPS 与 HTTP 有什么不同? HTTP 是在过去很长一段时间经常用到的一种传输协议 HTTP 协议传输的数据都是未加密的, 这就意味着用户填写的密码 帐号 交易记录等机密信息都是明文, 随时可能被泄露 窃取 篡改, 被黑客加以利用, 因此使 HTTP 协议传输隐私信息非常不安全 HTTPS 是一种基于 SSL 协议的网站加密传输协议, 网站安装 SSL 证书后, 使用 HTTPS 加密协议访问, 可激活客户端浏览器到网站服务器之间的 SSL 加密通道 (SSL 协议 ), 实现高强度双向加密传输, 防止传输数据被泄露或篡改 简单讲 HTTPS=HTTP +SSL, 是 HTTP 的安全版 SSL 证书有什么优势? 对比传统的加密方式,SSL 证书有以下几点优势 : 1. 简单快捷, 只需要申请一张证书, 将证书部署在服务器上就可以在有效期内不用再做其他的操作 2. 显示直观, 部署 SSL 证书后, 通过 https 访问网站时, 在地址栏或地址栏右侧有加密锁标志, 能直观的表明网站是加密的, 使用 EV 证书, 公司名称能直接显示在地址栏 30

35 3. 身份认证是别的加密方式都不具备的, 能在证书信息里面看到网站所有者公司信息, 进而确认网站的有效性和真实性, 不会被钓鱼网站所欺骗 证书推送到云产品有哪些常见问题? 通过 SSL 证书管理购买数字证书, 支持一键推送到负载均衡 (ELB) 等华为云云产品中 如果您没有购买对应的云产品, 或您的数字证书所绑定的域名没有在对应的云产品中开通服务, 请不要将数字证书推送到对应的云产品中, 若推送将可能导致推送失败 当证书成功推送到云产品中, 就意味着该云产品已经正确启用 HTTPS 服务了吗? 不是, 您还需要到对应的云产品管理控制台中进行一些对应的参数配置 另外, 您也需要确认您的源站是否已经准备好启用 HTTPS 服务 推送到弹性负载均衡 (ELB) 时都会推送到哪些地域? SSL 证书管理会将数字证书往用户登录时所在的区域推送一份 取消推送时,SSL 证书管理会将已经推送的数字证书在 ELB 中删除掉 为什么要使用无密码保护的私钥? 华为云其它云产品在使用数字证书的过程中需要您提供私钥, 如果您的私钥是加载密码保护的, 那么其它云产品在加载您的数字证书时将无法使用您的私钥, 可能导致数字证书解密失败,HTTPS 服务失效 因此, 需要您提供无密码保护的私钥 哪些网站必须启用 HTTPS 加密? 在越来越重视信息安全的今天,HTTPS 协议站点无疑已经成为主流 就目前形势而言, 以下网站必须启用 HTTPS 协议加密 : 电商平台及其相关支付系统网站 银行系统 金融机构等高私密性网站 政府 高校 科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看,HTTPS 协议网站已是必然趋势 启用 HTTPS 协议加密是当今网站建设的关键要点 不仅局限于上述网站类型, 启用 HTTPS 协议加密既是网站安全的必然需要, 也是公司发展的提前布局 如何解决 chrome 浏览器的提示错误? 错误 1:NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 错误 近期, 陆续接到用户反馈 chrome 53 版本,qq 浏览器 版本 ( 内置 chrome53 内核 ) 在访问 HTTPS 网站时, 出现上述 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 错误 该问题为 Google Chrome 53 版本浏览器的 BUG, 导致显示 HTTPS 网站异常, 可采用非 53 版本的 chrome 浏览器就可避免上述显示问题 31

36 有些电脑浏览器或者手机浏览器提示证书不可信怎么办? 如果遇到电脑浏览器或手机浏览器提示证书不可信的问题, 请确认您所购买的数字证书品牌和提示证书不可信的终端类型 部分品牌的数字证书在某些终端上是不被支持的, 请参考该品牌的数字证书的相关介绍 目前市场上的主流设备都是兼容 Symantec GeoTrust 品牌的数字证书的 注意 Chrome53 版本存在已知的问题导致不兼容 Symantec GeoTrust 品牌证书 : Chrome 53 Bug Affecting Symantec SSL/TLS Certificates Warning Certificate Transparency error with Chrome 53 排查步骤 排除数字证书与终端不兼容的问题后, 建议您按以下步骤进行检查 : 1. 首先建议您使用以下工具进行检查 : Symantect CryptoReport SSL/TLS certificate checker GeoCerts SSL Checker 如果检查结果中的证书品牌 证书类型 域名与您购买的不一致, 请仔细检查服务器上数字证书的配置 如果检查结果显示证书链不完整, 请检查数字证书相关配置是否正确 注意 证书服务提供的 PEM 格式数字证书包含两段内容, 两段内容中的任何一段都不能丢失 如果两段内容之间存在空白行, 请删除空白行 配置修改完成后重启 Web 服务, 并重新检查 2. 确保您的数字证书配置中已关闭了不安全的协议, 如 SSLv3 等有已知隐患的协议 3. 检查您的网页中是否引用了一些 HTTP 资源 部分浏览器对 HTTPS 站点引用 HTTP 资源的情况会认为是不安全的 4. 如果一个域名有多台服务器, 请您确认是否每台服务器都正确部署了证书 服务器上安装 SSL 证书会不会影响到用户浏览网页的速度? 会增加服务器 CPU 的处理负担, 因为要为每一个 SSL 链接实现加密和解密, 但一般不会影响太大 同时为了减轻服务器的负担, 建议注意以下几点 : 1. 仅为需要加密的页面使用 SSL, 如 不要把所有页面都使用 特别是访问量最大的首页 2. 尽量不要在使用了 SSL 的页面上设计大块的图片文件或者其他大文件, 尽量使用简洁的文字页面 32

37 浏览器是如何检查 SSL 证书是否正常工作的? SSL 数字证书必须由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发, 具有网站身份验证和加密传输双重功能 配置完成 SSL 数字证书后, 如果您能使用 方式访问您的网站, 则表示网站已经部署了 SSL 证书 操作步骤 1. 在浏览器地址栏中, 输入 您的数字证书绑定的域名 ( 如 ) 2. 按回车键 (Enter) 通过 HTTPS 方式访问您的网站 3. 网站页面能正常访问, 且浏览器地址栏中显示安全锁标志, 说明您的 SSL 数字证书已部署成功 服务器换了 IP 地址是否导致原来的 SSL 证书不能使用? 不会 SSL 证书都是绑定域名的, 和服务器更换 IP 地址没有任何关系, 只要域名不变, 重新解析到新的 IP 地址即可, 原来的 SSL 证书照样可以用, 不需要更换新的证书 7.2 操作类 如何在 Tomcat 上安装 SSL 证书? 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入购买证书列表界面 在 已签发 证书所在行的 操作 列, 单击 下载, 浏览器启用自带下载功能下载证书 图 7-8 下载证书 步骤 4 下载证书及证书转换 1. 补全信息时, 证书请求文件 选择的 粘贴已有 SCR 请参考以下步骤进行配置 a. 单击 下载证书 按钮, 下载的文件包含了一个 pem 文件 server.pem 文件包括两段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE

38 b. 将 pem 文件和生成 SCR 时的私钥 server.key 放在一个文件夹内 c. 使用 openssl 将 pem 格式证书转换为 PFX 格式证书, 得到 server.pfx 文件 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.pem 注意 此处要设置 PFX 证书密码, 请牢记 d. 使用 java jdk 将 PFX 格式证书转换为 JKS 格式证书, 得到 server.jks 文件 windows 环境在 %JAVA_HOME%/jdk/bin 目录下执行 keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS 回车后输入 JKS 证书密码和 PFX 证书密码 注意 强烈推荐将 JKS 密码与 PFX 证书密码设置相同, 否则可能会导致 Tomcat 启动失败 可以在同一文件夹内的新建一个 keystorepass.txt 文件, 将 jks 的密码保存在该文件中 2. 补全信息时, 证书请求文件 选择的 在线生成 SCR 请参考以下步骤进行配置 a. 单击 下载证书 按钮, 下载的文件包含了 Apache IIS Nginx Tomcat 4 个文件夹和 1 个 domain.csr 文件, 如图 7-9 所示 图 7-9 解压 SSL 证书 b. 从 Tomcat 文件夹内获得证书文件 server.jks 和密码文件 keystorepass.txt 步骤 5 步骤 6 在 Tomcat 的安装目录下创建 cert 目录, 并且将证书文件 server.jks 和密码文件 keystorepass.txt 拷贝到 cert 目录中 配置 tomcat 中 conf 同目录下的 server.xml 文件 34

39 增加如下参数 : keystorefile="cert/server.jks" keystorepass=" 证书密码 " 完整的配置如下, 其余参数根据实际情况修改 : <Connector port="443" protocol="http/1.1" SSLEnabled="true" scheme="https" secure="true" keystorefile="cert/server.jks" keystorepass="password" clientauth="false" sslprotocol="tls" /> keystorepass 的值需要替换为 keystorepass.txt 文件内提供的密码 注意 不要直接拷贝所有配置, 只需添加 keystorefile,keystorepass 等参数即可, 其它参数请根据自己的实际情况修改 参数说明, 如表 7-3 所示 表 7-3 参数说明 参数 keystorepass keystorefile 参数说明 server.jks 的密码 填写 keystorepass.txt 文件内提供的密码 server.jks 文件存放路径 步骤 7 修改完成后保存配置文件, 并重启 Tomcat 步骤 8 验证证书安装是否正确 1. 在浏览器的地址中输入 域名, 按 Enter 2. 单击, 查看证书, 如图 7-10 所示 图 7-10 查看证书 3. 单击 更多信息, 如图 7-11 所示 35

40 图 7-11 更多信息 4. 在弹出的 页面信息 窗口中, 单击 安全 > 查看证书, 如图 7-12 所示 图 7-12 查看证书 5. 在弹出的 证书查看器 中, 单击 常规, 查看证书常规信息, 如图 7-13 所示 36

41 图 7-13 证书常规信息 6. 单击 详细信息, 查看证书详细信息, 如图 7-14 所示 37

42 图 7-14 详细信息 7. 如果以上证书信息验证正确, 则证书安装正确 ---- 结束 如何在 Nginx 上安装 SSL 证书? 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入购买证书列表界面 在 已签发 证书所在行的 操作 列, 单击 下载, 浏览器启用自带下载功能下载证书 图 7-15 下载证书 38

43 步骤 4 下载证书及证书转换 1. 补全信息时, 证书请求文件 选择的 粘贴已有 SCR 请参考以下步骤进行配置 a. 单击 下载证书, 下载的文件包含了一个 pem 文件 server.pem 文件包括两段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- b. 修改 server.pem 的后缀名为 crt, 和生成 SCR 时的私钥 server.key 放在一个文件夹内 2. 补全信息时, 证书请求文件 选择的 在线生成 SCR 请参考以下步骤进行配置 a. 下单击 下载证书, 下载的文件包含了包含 Apache IIS Nginx Tomcat 4 个文件夹和 1 个 domain.csr 文件, 如图 7-16 所示 图 7-16 解压 SSL 证书 b. 从 Nginx 文件夹内获得证书文件 server.crt 和私钥文件 server.key server.crt 文件包括两段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- server.key 文件包括一段私钥代码 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 步骤 5 步骤 6 在 Nginx 的安装目录下创建 cert 目录, 并且将 server.key 和 server.crt 拷贝到 nginx 的 cert 目录下 配置 nginx 中 conf 同目录下的 nginx.conf 文件 修改如下参数 : ssl_certificate ssl_certificate_key cert/server.crt; cert/server.key; 完整的配置如下, 其余参数根据实际情况修改 : server { listen 443; server_name # 用户服务器的域名, 如 ssl on; ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; ssl_session_timeout 5m; 39

44 } ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ssl_prefer_server_ciphers on; location / { root html; # 站点目录 index index.html index.htm; } 注意 不要直接拷贝所有配置, 参数中 ssl 开头的属性与证书配置有直接关系, 其它参数请根据自己的实际情况修改 参数说明如表 7-4 所示 表 7-4 参数说明 参数 说明 listen SSL 访问端口号, 设置为 443 SSL 设置为 on, 启用 SSL 功能 ssl_certificate 证书文件 server.crt 设置为 server.crt 文件的路径, 且路径中不能包含中文字符, 例如 cert/server.crt ssl_certificate_key 私钥文件 server.key 设置为 server.key 的路径, 且路径中不能包含中文字符, 例如 cert/server.key ssl_protocols ssl_ciphers 使用的协议 配置加密套件, 写法遵循 OpenSSL 标准 步骤 7 修改完成后保存配置文件, 验证配置是否正确 进入 nginx 执行目录下, 执行以下命令 : sbin/nginx -t 配置正确, 回显信息如下所示 : nginx.conf syntax is ok nginx.conf test is successful 步骤 8 重启 Nginx 步骤 9 验证证书安装是否正确 1. 在浏览器的地址中输入 域名, 按 Enter 2. 单击, 查看证书, 如图 7-17 所示 40

45 图 7-17 查看证书 3. 单击 更多信息, 如图 7-18 所示 图 7-18 更多信息 4. 在弹出的 页面信息 窗口中, 单击 安全 > 查看证书, 如图 7-19 所示 图 7-19 查看证书 5. 在弹出的 证书查看器 中, 单击 常规, 查看证书常规信息, 如图 7-20 所示 41

46 图 7-20 证书常规信息 6. 单击 详细信息, 查看证书详细信息, 如图 7-21 所示 42

47 图 7-21 详细信息 7. 如果以上证书信息验证正确, 则证书安装正确 ---- 结束 如何在 Apache 上安装 SSL 证书? 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入购买证书列表界面 在 已签发 证书所在行的 操作 列, 单击 下载, 浏览器启用自带下载功能下载证书 图 7-22 下载证书 43

48 步骤 4 下载证书及证书转换 1. 补全信息时, 证书请求文件 选择的 粘贴已有 SCR 请参考以下步骤进行配置 a. 单击 下载证书, 下载的文件包含了一个 pem 文件 server.pem 文件包括两段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- b. 取 server.pem 文件的第一段证书代码, 并另存为 server.crt 文件, 取 server.pem 文件的第二段证书代码, 并另存为 ca.crt 文件 c. 将 ca.crt server.crt 和生成 SCR 时的私钥 server.key 放在一个文件夹内 2. 补全信息时, 证书请求文件 选择的 在线生成 SCR 请参考以下步骤进行配置 a. 单击 下载证书, 下载的文件包含了 Apache IIS Nginx Tomcat 4 个文件夹和 1 个 domain.csr 文件, 如图 7-23 所示 图 7-23 解压 SSL 证书 b. 从 Apache 文件夹内获得证书文件 ca.crt, server.crt 和私钥文件 server.key ca.crt 文件包括一段证书代码 -----BEGIN CERTIFICATE----- 和 END CERTIFICATE----- server.crt 文件包括一段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- server.key 文件包括一段私钥代码 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 步骤 5 步骤 6 在 Apache 的安装目录下创建 cert 目录, 并且将 server.key server.crt 和 ca.crt 拷贝到 Apache 的 cert 目录下 配置 Apache 中 conf 目录下的 httpd.conf 文件 找到如下参数并去掉 # 注释 : #LoadModule ssl_module modules/mod_ssl.so( 如果找不到请确认是否编译过 openssl 插件 ) #Include conf/extra/httpd-ssl.conf 步骤 7 用文本编辑器打开 Apache 根目录下 conf/extra/httpd-ssl.conf 文件 ( 也可能是 conf.d/ ssl.conf, 与操作系统及安装方式有关 ) 44

49 修改如下参数 : # 证书公钥配置 SSLCertificateFile cert/server.crt # 证书私钥配置 SSLCertificateKeyFile cert/server.key # 证书链配置 SSLCertificateChainFile cert/ca.crt 完整的配置如下, 其余参数根据实际情况修改 : <VirtualHost :443> DocumentRoot /var/www/html ServerName # 用户服务器的域名 SSLEngine on SSLCertificateFile cert/server.crt SSLCertificateKeyFile cert/server.key SSLCertificateChainFile cert/ca.crt </VirtualHost> 注意 不要直接拷贝所有配置, 其它参数请根据自己的实际情况修改 配置文件参数说明, 如表 7-5 所示 表 7-5 配置文件参数说明 参数 DocumentRoot 说明 /var/www/html 使用默认值即可, 不需要修改 ServerName 用户服务器的域名, 例如 : SSLEngine 设置为 on, 启用 SSL 功能 SSLCertificateFile 证书文件 server.crt 设置为 server.crt 文件的路径, 且路径中不能包含中文字符, 例如 cert/server.crt SSLCertificateKeyFile 私钥文件 server.key SSLCertificateChainFile 证书链 ca.crt 设置为 server.key 文件的路径, 且路径中不能包含中文字符, 例如 cert/server.key 请设置为 ca.crt 文件的路径, 且路径中不能包含中文字符, 例如 cert/ca.crt 步骤 8 步骤 9 按照以上步骤配置完成后, 重启 Apache 即可 验证证书安装是否正确 1. 在浏览器的地址中输入 域名, 按 Enter 2. 单击, 查看证书, 如图 7-24 所示 45

50 图 7-24 查看证书 3. 单击 更多信息, 如图 7-25 所示 图 7-25 更多信息 4. 在弹出的 页面信息 窗口中, 单击 安全 > 查看证书, 如图 7-26 所示 图 7-26 查看证书 5. 在弹出的 证书查看器 中, 单击 常规, 查看证书常规信息, 如图 7-27 所示 46

51 图 7-27 证书常规信息 6. 单击 详细信息, 查看证书详细信息, 如图 7-28 所示 47

52 图 7-28 详细信息 7. 如果以上证书信息验证正确, 则证书安装正确 ---- 结束 如何在 IIS 上安装 SSL 证书? 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入购买证书列表界面 在 已签发 证书所在行的 操作 列, 单击 下载, 浏览器启用自带下载功能下载证书 图 7-29 下载证书 48

53 步骤 4 下载证书及证书转换 1. 补全信息时, 证书请求文件 选择的 粘贴已有 SCR 请参考以下步骤进行配置 a. 单击 下载证书 按钮, 下载的文件包含了一个 pem 文件 server.pem 文件包括两段证书代码 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- b. 将 pem 文件和生成 SCR 时的私钥 server.key 放在一个文件夹内 c. 使用 openssl 将 pem 格式证书转换为 PFX 格式证书, 得到 server.pfx 文件 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.pem 注意 此处要设置 PFX 证书密码, 请牢记 可以在同一文件夹内的新建一个 keystorepass.txt 文件, 将 pfx 的密码保存在该文件中 2. 补全信息时, 证书请求文件 选择的 在线生成 SCR 请参考以下步骤进行配置 a. 单击 下载证书 按钮, 下载的文件包含了 Apache IIS Nginx Tomcat 4 个文件夹和 1 个 domain.csr 文件, 如图 7-30 所示 图 7-30 解压 SSL 证书 步骤 5 配置 IIS b. 从 IIS 文件夹内获得 SSL 证书文件 server.pfx 和密码文件 keystorepass.txt 1. 安装 IIS, 请参照 IIS 相关安装指导进行安装 2. 打开 IIS 管理控制台, 双击 服务器证书, 如图 7-31 所示 49

54 图 7-31 服务器证书 3. 在弹出的窗口中, 单击 导入, 如图 7-32 所示 图 7-32 导入 4. 导入 server.pfx 证书文件, 单击 确定 说明 密码 配置框内需要输入 keystorepass.txt 文件内的密码 50

55 图 7-33 导入 pfx 证书文件 5. 鼠标右键单击目标站点 ( 这里以默认站点为例 ), 选择 编辑绑定, 如图 7-34 所示 图 7-34 编辑绑定 6. 在弹出的窗口中, 单击 添加, 并填写以下信息 51

56 图 7-35 添加网站绑定 7. 填写完成后, 单击 确定 即可 步骤 6 验证证书安装是否正确 1. 在浏览器的地址中输入 域名, 按 Enter 2. 单击, 查看证书, 如图 7-36 所示 图 7-36 查看证书 3. 单击 更多信息, 如图 7-37 所示 图 7-37 更多信息 4. 在弹出的 页面信息 窗口中, 单击 安全 > 查看证书, 如图 7-38 所示 52

57 图 7-38 查看证书 5. 在弹出的 证书查看器 中, 单击 常规, 查看证书常规信息, 如图 7-39 所示 53

58 图 7-39 证书常规信息 6. 单击 详细信息, 查看证书详细信息, 如图 7-40 所示 54

59 图 7-40 详细信息 7. 如果以上证书信息验证正确, 则证书安装正确 ---- 结束 如何填写证书中绑定的域名? 什么是通配符域名? 购买数字证书之后, 需要在 SSL 证书管理控制台中补全证书审核资料 而补全信息的第一步就是填写域名信息, 正确填写域名信息后才能保证您的数字证书顺利颁发, 并正确开启 HTTPS 服务 SSL 证书管理控制台会根据您购买的证书提示您需要输入的域名类型 通配符域名是指以 *. 号开头的域名 例如 : *.a.com 是正确的通配符域名, 但 *.*.a.com 则是不正确的 说明 一个通配符域名算一个域名 55

60 什么是普通域名? 普通域名是相对通配符域名来说的, 是一个具体的域名或者说不是通配符域名 例如 : 或 a.com 都算一个普通域名 普通域名能绑定的数量, 取决于您证书订单中选择的域名个数 说明 什么是公钥和私钥? 如 buy.example.com 或 next.buy.example.com 各个明细子域名都算一个域名 公钥和私钥就是俗称的不对称加密方式 公钥 (Public Key) 与私钥 (Private Key) 是通过一种算法得到的一个密钥对 ( 即一个公钥和一个私钥 ), 公钥是密钥对中公开的部分, 私钥则是非公开的部分 公钥通常用于加密会话密钥 验证数字签名, 或加密可以用相应的私钥解密的数据 通过这种算法得到的密钥对能保证在世界范围内是唯一的 使用这个密钥对的时候, 如果用其中一个密钥加密一段数据, 则必须用另一个密钥才能解密 比如用公钥加密的数据就必须用私钥才能解密, 如果用私钥进行加密也必须用公钥才能解密, 否则将无法成功解密 说明 由于私钥的非公开属性, 建议在 SSL 证书申请过程中, 由客户自己生成私钥, 并妥善保管 一旦发生证书私钥丢失的事件, 请立刻吊销已有证书并对相关域名重新申购 SSL 证书 已避免因私钥丢失导致网站信息泄露等恶性事件的发生 数字证书的原理 创建私钥 数字证书采用公钥体制, 即利用一对互相匹配的密钥对进行加密 解密 每个用户自己设定一把特定的仅为本人所知的私有密钥 ( 私钥 ), 用它进行解密和签名 ; 同时设定一把公共密钥 ( 公钥 ) 并由本人公开, 为一组用户所共享, 用于加密和验证签名 由于密钥仅为本人所有, 这样就产生了别人无法生成的文件, 也就形成了数字签名 数字证书是一个经证书授权中心 (CA) 数字签名的包含公开密钥拥有者信息以及公开密钥的文件 最简单的证书包含一个公开密钥 名称以及证书授权中心的数字签名 数字证书还有一个重要的特征就是只在特定的时间段内有效 华为云 SSL 证书管理对您的私有密钥的加密算法和长度有如下要求 : 加密算法使用 RSA 算法 加密长度至少 2048 位 说明 建议您使用 2048 位加密长度的 SHA256 摘要算法 您可以通过以下两种方式创建您的私钥 : 1. 使用 OpenSSL 工具生成私钥 OpenSSL 是一个强大且应用广泛的安全基础库工具, 您可以从 下载最新的 OpenSSL 工具安装包 56

61 说明 要求 OpenSSL 版本必须是 1.0.1g 或以上版本 安装 OpenSSL 工具后, 在命令行模式下运行 openssl genrsa -out myprivate.pem 2048 即可生成您的私钥文件 myprivate.pem 即为您的私钥文件 2048 指定加密长度 2. 使用 Keytool 工具导出私钥 Keytool 工具是 JDK 中自带的密钥管理工具, 可以制作 Keystore(jks) 格式的证书文件, 您可以从 下载 JDK 工具包来获取 Keytool 工具 由于使用 Keytool 工具制作的公钥和私钥默认是不可以导出的, 需要您从已经创建好的.keystore 文件中导出私钥 在导出的文件中, 以下部分的内容即是您的私钥 : -----BEGIN RSA PRIVATE KEY END RSA PRIVATE KEY----- 或者 -----BEGIN PRIVATE KEY END PRIVATE KEY----- 注意 无论您通过哪种方式生成密钥, 请您完善地保管好您的私钥文件, 私钥文件一旦丢失或者损坏, 您申请的对应的公钥 及数字证书都将无法使用 如何在证书审核过程中查询域名管理员邮箱并进行验证? 步骤 1 步骤 2 步骤 3 访问 网站, 输入需要查询的域名 在查询结果中, 确认邮箱是否是域名管理员邮箱 若邮箱无误, 用户补全信息后,CA 机构将会给该邮箱发送验证邮件, 收到邮件后点击邮件中的确认链接即可完成验证 ---- 结束 如何选择证书类型 证书品牌 保护域名数量? 证书类型的选择 如果您的网站主体是个人 ( 即没有企业营业执照 ), 只能申请免费型即 DV 型数字证书 对于一般企业, 建议购买 OV 及以上类型的数字证书 对于金融 支付类企业, 建议购买 EV 型证书 移动端网站或接口调用, 建议您使用 OV 及以上类型的证书 57

62 注意 Symantec 品牌的 EV 型证书有服务器 IP 限制 如果您的一个域名有多个主机 IP, 建议您购买多张数字证书 如果您同时还使用了华为云的其它云产品, 选择其中一张证书上传到对应的云产品中即可 品牌选择 保护域名数量 各数字证书品牌兼容性从强到弱的顺序 :Symantec GeoTrust Globalsign CFCA 如用于移动端, 像 IOS 类或是接口调用必须用 https 的地方, 建议用 symantec 品牌 一个域名 : 该数字证书只能配置一个具体的域名 多个域名 : 该数字证书可配置多个具体的域名 这些域名可以是一个顶级域也可以是非顶级域名, 例如 :p1.taobao.com,p1.huaweicloud.com 等 通配符域名 : 该数字证书可配置一个通配符域名 通配符域名一般格式为 *.huaweicloud.com 通配符域名仅支持同级匹配, 例如 : 绑定 *.huaweicloud.com 通配符域名的数字证书, 支持 p1.huaweicloud.com, 但不支持 p2.p1.huaweicloud.com 如果你需要支持 p2.p1.huaweicloud.com 的通配符域名数字证书, 则还需要购买一张 *.p1.huaweicloud.com 的通配符域名证书 注意 通配符域名的数字证书中, 仅根域名包含域名主体本身 例如 : *.huaweicloud.com 的通配符域名数字证书包含了 huaweicloud.com *.p1.huaweicloud.com 的通配符域名数字证书不包含 p1.huaweicloud.com 具体的域名中如果填写的是 www 域名, 则包含了主域名本身 例如 : 域名绑定的数字证书包含了 huaweicloud.com 域名绑定的数字证书不包含 p1.huaweicloud.com 您的数字证书一旦颁发后, 将无法修改域名信息等 订单提交审核后需要做什么? OV EV 类型证书 当数字证书订单提交审核后, 您可以在 SSL 证书管理控制台的证书管理列表中, 查看操作列中指示您接下来需要做什么 如果您购买的是 OV 或 EV 类型证书, 您只需要耐心等待,CA 中心一般会在三到七个工作日之内完成您的证书订单审核 如果审核期间有任何问题,CA 中心的客服人员会通过电话联系您并指导您进行相关操作, 请务必确保您的联系电话在审核期间保持畅通 58

63 DV 型 ( 免费型 ) 证书 您需要按照证书列表页面的提示完成域名授权验证配置 当域名授权验证完成后, 您的数字证书将会在短时间内颁发 如果您的域名中包含某些敏感词 ( 例如 :bank pay live 等 ), 可能会触发人工审核机制, 审核时间会比较长, 请您耐心等待 为什么收到了 Symantec/GeoTrust 的通知后订单状态仍没有变化呢? 在资料审核环节和证书颁发环节 Symantec/GeoTrust 可能会发送一封邮件通知用户说申请证书的进展或者证书已经颁发下来了 细心的用户会发现, 华为云系统中的订单状态还没有发生变化 此时需要再等一段时间才能看到订单的状态发生变化 因为 Symantec/GeoTrust 给华为云推送的结果会比系统发邮件的结果延迟一段时间 订单误关闭 - 信息填写错误该怎么办呢? 由于操作失误, 将订单关闭了, 该怎么办? 请提交工单, 与技术支持人员确认是否能重新开启该证书订单 订单已经提交了, 但是有信息填写错误, 该怎么办? 如果有错误的信息不影响证书的审核 证书的颁发及使用, 可不修改 如果确实需要进行修改, 请提交工单, 与技术支持人员确认是否能重新开启该证书订单, 并修改相应信息 注意 请务必正确填写信息, 谨慎操作 如何将证书应用到华为云的其它产品? 通过 SSL 证书管理将证书推送给华为云的其它产品 操作步骤 步骤 1 步骤 2 步骤 3 登录管理控制台 选择 安全 > SSL 证书管理, 进入 SSL 证书列表界面 在需要推送的证书所在行的 操作 列中, 单击 推送, 进入云产品推送界面, 如图 7-41 所示 59

64 图 7-41 证书列表 步骤 4 在需要推送的目标服务所在行的 操作 列中, 单击 推送, 在弹出的对话框中, 单击 确定, 在页面右上角弹出 推送证书成功, 表示 SSL 证书推送给目标服务成功, 如图 7-42 所示 SSL 证书推送成功后, 该云产品服务的 状态 为 已推送 图 7-42 推送证书 说明 若需要取消已推送的 SSL 证书, 在需要取消推送的目标服务所在行的 操作 列中, 单击 取消推送 ---- 结束 所有子域名类型的通配符证书都支持哪些域名? 如果您打算购买 所有子域名 类型的通配符证书, 需要注意通配符证书匹配域名的规则 : *.example.com 的域名证书匹配 abc.example.com sport.example.com good.example.com 的域名, 但是不匹配 mycard.good.example.com mycalc.good.example.com 等下级域名 *.good.example.com 匹配 mycard.good.example.com mycalc.good.example.com 等域名证书 也就是说, 通配符域名证书只匹配同级别的通配域名, 不能跨级匹配 目前, 所有子域名 数字证书只支持一个含通配符的域名 申请 SSL 证书时应该使用哪个域名申请? 关于申请 SSL 数字证书时应该如何选择申请域名, 本文将通过一个简单的示例进行描述 例如, 您的网站为 其中, 有一个用户登录页面 您想要申请一张 SSL 数字证书确保用户输入用户名和密码时的安全, 确保用户信息不会在传输过程中被非法窃取 同时, 还有一个用户登录的信息管理页面 您也希望使用 SSL 数字证书来保障内部管理系统中的机密信息的安全 这种情况下, 您使用域名 申请 SSL 数字证书即可实现对这类页面的保护 60

65 如果您的网站访问量较大, 建议您为需要使用 SSL 数字证书的页面设置一个独立的 Web 服务器 (HTTP server), 并使用一个独立的域名来申请 SSL 数字证书, 例如 : secure.domain.com 或 ssl.domain.com 注意 的使用必须与申请 SSL 数字证书的域名一致, 否则浏览器可能会出现 安全证书上的名称无效, 或者与站点名称不匹配 的警告 请根据您网站的具体情况使用合适的域名来申请 SSL 数字证书 主流数字证书都有哪些格式? 一般来说, 主流的 Web 服务软件, 通常都基于 OpenSSL 和 Java 两种基础密码库 Tomcat Weblogic JBoss 等 Web 服务软件, 一般使用 Java 提供的密码库 通过 Java Development Kit(JDK) 工具包中的 Keytool 工具, 生成 Java Keystore(JKS) 格式的证书文件 Apache Nginx 等 Web 服务软件, 一般使用 OpenSSL 工具提供的密码库, 生成 PEM KEY CRT 等格式的证书文件 IBM 的 Web 服务产品, 如 Websphere IBM Http Server(IHS) 等, 一般使用 IBM 产品自带的 ikeyman 工具, 生成 KDB 格式的证书文件 微软 Windows Server 中的 Internet Information Services(IIS) 服务, 使用 Windows 自带的证书库生成 PFX 格式的证书文件 如何判断证书文件是文本格式还是二进制格式? 证书格式转换 您可以使用以下方法简单区分带有后缀扩展名的证书文件 : *.DER 或 *.CER 文件 : 这样的证书文件是二进制格式, 只含有证书信息, 不包含私钥 *.CRT 文件 : 这样的证书文件可以是二进制格式, 也可以是文本格式, 一般均为文本格式, 功能与 *.DER 及 *.CER 证书文件相同 *.PEM 文件 : 这样的证书文件一般是文本格式, 可以存放证书或私钥, 或者两者都包含 *.PEM 文件如果只包含私钥, 一般用 *.KEY 文件代替 *.PFX 或 *.P12 文件 : 这样的证书文件是二进制格式, 同时包含证书和私钥, 且一般有密码保护 您也可以使用记事本直接打开证书文件 如果显示的是规则的数字字母, 例如 : BEGIN CERTIFICATE MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh... END CERTIFICATE 那么, 该证书文件是文本格式的 如果存在 BEGIN CERTIFICATE, 则说明这是一个证书文件 如果存在 BEGIN RSA PRIVATE KEY, 则说明这是一个私钥文件 以下证书格式之间是可以互相转换的 61

66 您可使用以下方式实现证书格式之间的转换 : 将 JKS 格式证书转换成 PFX 格式 您可以使用 JDK 中自带的 Keytool 工具, 将 JKS 格式证书文件转换成 PFX 格式 例如, 您可以执行以下命令将 server.jks 证书文件转换成 server.pfx 证书文件 : keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12 将 PFX 格式证书转换为 JKS 格式 您可以使用 JDK 中自带的 Keytool 工具, 将 PFX 格式证书文件转换成 JKS 格式 例如, 您可以执行以下命令将 server.pfx 证书文件转换成 server.jks 证书文件 : keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS 将 PEM/KEY/CRT 格式证书转换为 PFX 格式 您可以使用 OpenSSL 工具, 将 KEY 格式密钥文件和 CRT 格式公钥文件转换成 PFX 格式证书文件 例如, 将您的 KEY 格式密钥文件 (server.key) 和 CRT 格式公钥文件 (server.crt) 拷贝至 OpenSSL 工具安装目录, 使用 OpenSSL 工具执行以下命令将证书转换成 server.pfx 证书文件 : openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 将 PFX 转换为 PEM/KEY/CRT 您可以使用 OpenSSL 工具, 将 PFX 格式证书文件转化为 KEY 格式密钥文件和 CRT 格式公钥文件 例如, 将您的 PFX 格式证书文件拷贝至 OpenSSL 安装目录, 使用 OpenSSL 工具执行以下命令将证书转换成 server.pem 证书文件 KEY 格式密钥文件 (server.key) 和 CRT 格式公钥文件 (server.crt): openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt 62

67 注意 此转换步骤是专用于通过 Keytool 工具生成私钥和 CSR 申请证书文件的, 并且通过此方法您可以在获取到 PEM 格式证书公钥的情况下分离私钥 在您实际部署数字证书时, 请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署 如何解决 审核失败 - 主域名不能为空 的问题? 问题描述 问题原因 解决方法 如果您在申请数字证书时选择自己上传 CSR 文件, 可能收到 审核失败 主域名不能为空 的返回结果 在创建 CSR 文件时, 未正确填写 Common Name 字段 重新制作并上传 CSR 文件, 确保正确填写 Common Name 字段 注意 Common Name 字段必须是证书绑定的域名中的一个 为保证 CSR 文件内容正确, 强烈建议您使用系统提供的系统生成 CSR 文件功能 同时, 使用系统自动生成 CSR 文件功能, 在数字证书颁发后还可支持不同格式的证书下载 域名未通过安全审核该怎么办? 问题描述 问题原因 如果您申请免费 DV 型数字证书的订单审核结果失败, 您可能收到以下失败结果描述 : 该域名未通过 CA 安全审核, 无法申请免费 DV 证书, 请尝试使用其他域名, 或选择收费证书产品 一般这种情况的审核失败, 可能是由于您的域名中包含某些敏感词 目前已知的无法通过免费 DV 型数字证书审核的域名敏感词包括 : live( 不包含.live 顶级域名 ) bank banc ban.c 63

68 alpha test example credit 内 外网 IP 地址 主机名 pw( 包含.pw 顶级域名 ) apple ebay trust root amazon android visa google discover financial wordpress pal hp lv free SCP 更多关于审核失败的细节内容,CA 中心并没有透露给华为云 解决方法 根据 CA 中心给出的建议, 在这种情况下您可以选择 : 购买收费型数字证书来绑定您的域名 使用该免费证书绑定您的其它不包含上述敏感词的域名 说明 如何制作 CSR 文件? 如果您使用收费型的数字证书绑定您的域名仍然无法通过 CA 中心的安全审核, 您可以申请全额退款 在申请数字证书之前, 您必须先生成证书私钥和证书请求文件 (Cerificate Signing Request, 简称 CSR) CSR 文件是您的公钥证书原始文件, 包含了您的服务器信息和您的单位信息, 需要提交给 CA 认证中心进行审核 说明 建议您使用系统提供的系统创建 CSR 功能, 避免出现内容不正确而导致的审核失败 关于审核失败详细信息, 请参考审核失败 - 主域名不能为空 64

69 手动生成 CSR 文件的同时会生成私钥文件, 请务必妥善保管和备份您的私钥 您手动生成 CSR 文件时, 一般需要输入以下信息 : 说明 输入的中文信息需要使用 UTF8 编码格式 Organization Name(O): 申请单位名称法定名称, 可以是中文或英文 Organization Unit(OU): 申请单位的所在部门, 可以是中文或英文 Country Code(C): 申请单位所属国家, 只能是两个字母的国家码 例如, 中国只能是 CN State or Province(S): 申请单位所在省名或州名, 可以是中文或英文 Locality(L): 申请单位所在城市名, 可以是中文或英文 Common Name(CN): 申请 SSL 证书的具体网站域名 说明 证书服务系统对 CSR 文件的密钥长度有严格要求, 密钥长度必须是 2,048 位, 密钥类型必须为 RSA 使用 OpenSSL 工具生成 CSR 文件 步骤 1 步骤 2 安装 OpenSSL 工具 执行命令 openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr 生成 CSR 文件 其中, -new 指定生成一个新的 CSR -nodes 指定私钥文件不被加密 -sha256 指定摘要算法 -keyout 生成私钥文件 -newkey rsa:2048 指定私钥类型和长度 步骤 3 生成 CSR 文件 mydomain.csr 需要输入的信息说明如下 : 65

70 字段说明示例 Country Name ISO 国家代码 ( 两位字符 ) CN State or Province Name 所在省份 ZheJiang Locality Name 所在城市 HangZhou Organization Name 公司名称 HangZhou xxx Technologies, Inc. Organizational Unit Name 部门名称 IT Dept. Common Name 申请证书的域名 Address 不需要输入 - A challenge password 不需要输入 - 完成命令提示的输入后, 会在当前目录下生成 myprivate.key( 私钥文件 ) 和 mydomain.csr(csr, 证书请求文件 ) 两个文件 说明 在使用 OpenSSL 工具生成中文证书时需要注意中文编码格式必须使用 UTF8 编码格式 同时, 需要在编译 OpenSSL 工具时指定支持 UTF8 编码格式 如果您需要输入中文信息, 建议您使用 Keytool 工具生成 CSR 文件 ---- 结束 使用 Keytool 工具生成 CSR 文件 步骤 1 步骤 2 安装 Keytool 工具,Keytool 工具一般包含在 Java Development Kit(JDK) 工具包中 使用 Keytool 工具生成 keystore 证书文件 说明 Keystore 证书文件中包含密钥, 导出密钥方式请参考主流数字证书都有哪些格式 1. 执行命令 keytool -genkey -alias mycert -keyalg RSA -keysize keystore./ mydomain.jks 生成 keystore 证书文件 其中, -keyalg 指定密钥类型, 必须是 RSA -keysize 指定密钥长度为 2,048 -alias 指定证书别名, 可自定义 -keystore 指定证书文件保存路径 66

71 2. 输入证书保护密码, 然后根据下表依次输入所需信息 : 问题说明示例 What is your first and last name? What is the name of your organizational unit? What is the name of your organization? What is the name of your City or Locality? What is the name of your State or Province? What is the two-letter country code for this unit? 申请证书的域名 部门名称 公司名称 所在城市 所在省份 ISO 国家代码 ( 两位字符 ) IT Dept HangZhou xxx Technologies,Ltd HangZhou ZheJiang CN 输入完成后, 确认输入内容是否正确, 输入 Y 表示正确 3. 根据提示输入密钥密码 可以与证书密码一致, 如果一致直接按回车键即可 步骤 3 通过证书文件生成证书请求 1. 执行命令 keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore./ mydomain.jks -file./mydomain.csr 生成 CSR 文件 其中, sigalg 指定摘要算法, 使用 SHA256withRSA alias 指定别名, 必须与 keystore 文件中的证书别名一致 keystore 指定证书文件 file 指定证书请求文件 (CSR) 2. 根据提示输入证书密码即可以生成 mydomain.csr ---- 结束 67

72 A 修订记录 A 修订记录 发布日期 修改说明 第九次正式发布 : 修改 下载证书 章节 第八次正式发布 : 第七次正式发布 : 修改常见问题 如何在 Tomcat 上安装 SSL 证书? 修改常见问题 如何在 Nginx 上安装 SSL 证书? 修改常见问题 如何在 Apache 上安装 SSL 证书? 修改常见问题 如何在 IIS 上安装 SSL 证书? 增加常见问题 免费证书审核需要多久? 修改常见问题 一个 SSL 证书能够绑定几个域名? 修改常见问题 一个 SSL 证书能够绑定几个域名? 根据界面变化更改截图 第六次正式发布 增加 一键申请免费证书 章节 修改 补全信息 章节 增加常见问题 如何制作 CSR 文件 根据界面变化更改截图 68

73 A 修订记录 发布日期 修改说明 第五次正式发布 增加 查看审核进度 章节 第四次正式发布 增加常见问题 如何选择证书类型 证书品牌 保护域名数量? 增加常见问题 订单提交审核后需要做什么? 增加常见问题 为什么收到了 Symantec/GeoTrust 的通知后订单状态仍没有变化呢? 增加常见问题 订单误关闭 - 信息填写错误该怎么办呢? 增加常见问题 如何将证书应用到华为云的其它产品? 增加常见问题 所有子域名类型的通配符证书都支持哪些域名? 增加常见问题 申请 SSL 证书时应该使用哪个域名申请? 增加常见问题 主流数字证书都有哪些格式? 增加常见问题 如何解决 审核失败 - 主域名不能为空 的问题? 增加常见问题 域名未通过安全审核该怎么办? 修改 补全信息 章节 69

74 A 修订记录 发布日期 修改说明 第三次正式发布 增加 与其他云服务的关系 章节 增加 审计 章节 增加 上传证书 章节 增加 推送证书 章节 增加 吊销证书 章节 增加常见问题 SSL 数字证书的区别以及如何选择? 增加常见问题 HTTPS 与 HTTP 有什么不同? 增加常见问题 SSL 证书有什么优势? 增加常见问题 证书推送到云产品有哪些常见问题? 增加常见问题 如何填写证书中绑定的域名? 增加常见问题 什么是公钥和私钥? 增加常见问题 证书审核过程中, 如何查询域名管理员邮箱并进行验证? 增加常见问题 为什么要使用无密码保护的私钥? 增加常见问题 哪些网站必须启用 HTTPS 加密? 增加常见问题 如何解决 chrome 浏览器的提示错误? 增加常见问题 有些电脑浏览器或者手机浏览器提示证书不可信怎么办? 增加常见问题 服务器上安装 SSL 证书会不会影响到用户浏览网页的速度? 增加常见问题 浏览器是如何检查 SSL 证书是否正常工作的? 增加常见问题 如果服务器换了 IP 地址, 原来的 SSL 证书还能用吗? 修改常见问题 为什么客户补全信息后, 证书状态长时间停留在审核中? 根据界面变化修改图片和描述 第二次正式发布 修改 补全信息 章节 第一次正式发布 增加常见问题 为什么客户补全信息后, 证书状态长时间停留在审核中? 70