阿里云
发表主题 回复主题
  • 1112阅读
  • 0回复

[教程]CDN证书相关常见问题

级别: 论坛版主
发帖
97
云币
237
k_pv6YrE  
书格式说明 Xi="gxp$%  
3lF"nv  
l7QxngWw  
常用证书申请流程 b0~r/M;J  
1. 本地生成私钥:openssl genrsa -out privateKey.pem 2048 其中privateKey.pem为您的私钥文件,请妥善保管。 IO)Y0J>x  
2. 生成证书请求文件:openssl req -new -key privateKey.pem -out server.csr 其中server.csr是您的证书请求文件,可用其去申请证书。 a>j}@8[J  
3. 获取请求文件中的内容前往CA等机构站点申请证书。 x?AG*' h&  
93*csO?Db  
%lCZ7z2o  
证书格式要求 /pMOinuO  
  • 您要申请的证书为:linux环境下 PEM 格式的证书,不支持其他格式的证书,如是其它格式的证书需要转换成 PEM 格式,具体请参考:“证书格式及转换方式”
  • 如果是通过root CA机构颁发的证书,您拿到的证书为唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
  • 如果是通过中级CA机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务证书与中间证书合并在一起上传
  • 拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。注:一般情况下,机构在颁发证书的时候会有对应说明, 请注意规则说明。
[Uup5+MCv  
7xnj\9$m  
#*h\U]=VS  
以下为证书格式和证书链格式范例,请确认格式正确后上传: 9=j9vBV  
1、root CA机构颁发的证书: 证书格式为linux环境下 PEM 格式。Sample见附件1图片 .SC *!,  
Y j oe|  
t}+/GSwT  
证书规则为: NK|UeL7ght  
a、 [——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 开头和结尾;请将这些内容一并上传; xQsxc  
b、 每行64字符,最后一行不超过64字符; KZKE&bTx  
(?e%w}  
FWbp;v{  
2、中级机构颁发的证书链: oSCaP,P  
——-BEGIN CERTIFICATE——- tSHW"R  
——-END CERTIFICATE——- ]N'3jf`W  
——-BEGIN CERTIFICATE——- v,<14w  
——-END CERTIFICATE——- 4c5BlD  
——-BEGIN CERTIFICATE——- 0pE >O7  
——-END CERTIFICATE——- J&8KIOz14Z  
7d;|?R-8D  
kcfT|@:MK"  
证书链规则: Mj@2=c  
a、证书之间不能有空行; wm~7`&  
b、每一份证书遵守第一点关于证书的格式说明; RU)(|;  
VWft/2p~  
Fi``l )Tt  
RSA私钥格式要求 I?rB7 *:  
(图片见附件2) zu d_BOq{f  
rsa私钥规则: v#,queGi  
a、[——-BEGIN RSA PRIVATE KEY——-, ——-END RSA PRIVATE KEY——-] 开头结尾;请将这些内容一并上传; ? i _ACKpw  
b、每行64字符,最后一行长度可以不足64字符。 of B:7  
Y-ao yoNS  
<- \|>r Q  
如果您不是按照上述方案生成私钥,得到[——-BEGIN PRIVATE KEY——-, ——-END PRIVATE KEY——-] 这种样式的私钥,您可以按照如下方式转换: gG?@_ie  
  1. openssl rsa -in old_server_key.pem -out new_server_key.pem
E@GYl85fI  
然后将new_server_key.pem的内容与证书一起上传。 ) H,Xkex  
2>o[  
ed6@o4D/kf  
证书格式转换方式 }Ulxt:}   
CDN HTTPS安全加速只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式,建议通过openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。 %jL^sA2;c+  
Y5aG^wE[:  
9,?~dx  
DER 转换为 PEM ~P|;Y<?3  
DER格式一般出现在java平台中 3"x_Y  
证书转化: hhU_kI  
  1. openssl x509 -inform der -in certificate.cer -out certificate.pem
bv4umL /  
私钥转化: z$J m1l  
  1. openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
A|ZT ;\  
;FqmZjm  
P7B 转换为 PEM WZ'Z"'  
P7B格式一般出现在windows server和tomcat中 (4FVemgy  
  • 证书转化:
EJn]C=_(  
  1. openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
^.A*mMQ  
获取outcertificat.cer里面[——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-]的内容作为证书上传。 A4"TJZBg}  
  • 私钥转化:无私钥
Xl4}S"a  
e\6H.9=  
0x<ASfka  
PFX 转换为 PEM ^+yz}YFM  
PFX格式一般出现在windows server中。 CzBYH   
证书转化: 6 - 3?&+  
  1. openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
E+\?ptw  
私钥转化: |S!R Q-CF  
  1. openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
5Cdn j  
$M}"u [Qq  
e* [wF}))  
其它证书相关问题 /"e@rnn  
  1. 添加一个加速域名后,配置域名的HTTPS安全加速功能,开启该功能必须要上传证书,包含证书/私钥,均为 PEM 格式,快速入门
  2. 支持证书的“停用”和“启用”,支持修改证书,若“停用”证书后,将不再保留证书信息,再次开启证书,需要重新上传证书/私钥,HTTPS安全加速设置教程
  3. 只支持带SNI信息的SSL/TLS握手
  4. 用户上传的证书和私钥要匹配,否则会校验出错
  5. 更新证书的生效时间是1个小时
  6. 不支持带密码的私钥
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个