云服务器内容精选
-
SSL证书管理服务中,单 域名 、多域名、泛域名的区别是什么? SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表1 域名类型 参数名称 参数说明 单域名 仅支持绑定1个普通域名。 如果您仅有一个域名,则选择单域名类型。 多域名 可以绑定多个不同的域名,域名可包含多个单域名。如购买多域名类型证书,域名数量为3的场景,可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时,域名可包含多个单域名和多个带通配符的(*)域名。如购买多域名类型证书,域名数量为3的场景,可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里,则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动,具体的详见如何选择SSL证书?,导致多域名证书在绑定www型域名时,有如下限制(以下以域名www.a.com和根域名a.com为例进行说明)。 DigiCert和GeoTrust品牌,为www.a.com或者a.com购买的证书,该证书同时支持防护另一个域名,即如果您购买的是这两个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要且只能绑定其中一个域名即可。 GlobalSign品牌,为www.a.com购买的证书,该证书同时支持防护a.com这个域名,但是为a.com购买的证书,不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要绑定www.a.com域名即可。 域名数量范围为“2~250”,支持最多绑定250个域名。 域名数量须满足以下条件: 主域名数量固定为1个 附加单域名数量≥1个(当证书类型为OV、OV Pro时,附加单域名数量+附加泛域名数量≥1) 须知: GeoTrust品牌的域名数量范围为“5~250”,其中,单域名数量需≥5个。 如果您有 多个域名 ,则选择多域名类型。需要根据域名个数,在购买页面购买对应的域名数量。 泛域名 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头,例如, *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配,例如:绑定*.huaweicloud.com通配符域名的数字证书,支持p1.huaweicloud.com,但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的通配符域名数字证书,则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表2。 如果您的域名在同一个级别,且未跨级别,均在一个级别,则选择泛域名类型。 购买泛域名证书,需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名,不能跨级匹配,具体示例如表2。 表2 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中,仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名,不能跨级匹配。匹配规则具体如下: 如果泛域名证书的主域名为一级域名, 云证书管理服务 默认赠送主域名。例如:您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com,为您默认赠送huaweicloud.com域名,无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名,例如:您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com,则不会赠送p1.huaweicloud.com或huaweicloud.com,只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com,则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名,则包含了主域名本身。例如: www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com,无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后,将无法修改域名信息等。 具体选择示例如表3所示: 表3 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1:huaweicloud.com 单域名 单域名类型,“域名数量”固定为“1” 示例2:test.huaweicloud.com 单域名 示例3:p1.test.huaweicloud.com 单域名 您有多个域名 示例1:2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2:3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3:4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名,且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等,均在一个级别,在*.huaweicloud.com的包含范围内 泛域名 泛域名类型,“域名数量”固定为“1” 父主题: 域名填写类
-
私有CA所有者和接受者权限说明 所有者可以对私有CA执行任何操作,接受者仅可以执行部分操作,接受者支持的操作说明如表 私有CA接受者支持的操作列表所示。 表1 私有CA接受者支持的操作列表 角色 支持的操作 操作说明 接受者 pca:ca:export 通过控制台或API进行访问 pca:ca:get 通过控制台或API进行访问 pca:ca:listTags 通过控制台或API进行访问 pca:ca:issueCert 通过控制台或API进行访问 pca:ca:issueCertByCsr 通过控制台或API进行访问 pca:ca:revokeCert 通过控制台或API进行访问
-
私有证书申请概述 私有证书管理(Private Certificate Authority,PCA)是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作,建立用户自己完整的CA层次体系并使用它签发证书,实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任,在Internet上不受信任。如需使用在Internet上受信任的证书,请购买SSL证书,具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示,流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 购买私有CA 根据需要购买私有CA。 2 激活私有CA 购买私有CA实例后,需要激活才能用于签发证书。 您可以选择激活已购买的私有CA实例为根CA或子CA。激活后私有CA正式生效,并且可用于签发私有证书。 3 申请私有证书 通过已激活的私有CA,申请私有证书。 4 下载私有证书 申请完成后,即可下载私有证书并在服务器上安装使用。
-
前提条件 请准备基础认证信息: AC CES S_KEY:华为云账号Access Key SECRET_ACCESS_KEY:华为云账号Secret Access Key DOMAIN_ID:华为云账号ID,详情请参见华为云账号基本概念 CCM_ENDPOINT:华为云CCM服务(PCA属于CCM下的微服务)访问终端节点,详请请参见终端节点说明 华为云SDK,提供统一的SDK使用方式。通过添加依赖或下载的方式调用华为云API,访问华为云应用、资源和数据。 PCA服务统一SDK地址见 SDK中心 。 华为云统一SDK使用指导请参见华为云开发者Java软件开发工具包(Java SDK)。 父主题: PCA代码示例最佳实践
-
约束与限制 通过SCM更新ELB中的证书,可以更新部署在ELB监听器下证书,即在SCM控制台更新对应ELB中证书的内容及私钥,更新成功后,ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书,需要指定域名,才可在SCM中完成更新证书的操作。 ELB中使用的证书如果指定了多个域名,更新证书前需要注意SCM证书的域名与其是否完全匹配。如果不完全匹配,则在SCM中执行更新证书操作后,会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例:SCM中证书的主域名及附加域名为example01.com,example02.com,ELB中证书的域名为example01.com,example03.com,在SCM中执行更新证书操作后,会将该ELB中证书的域名更新为example01.com,example02.com。 申请证书时,如果“证书请求文件”选择的是“自己生成 CS R”,那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书并进行部署。
-
步骤一:确认验证步骤 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析。请根据域名管理平台类型执行验证步骤: 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS? 是。请执行以下操作步骤: 请参见怎样把域名从其他服务商迁移到华为云DNS?,把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。
-
步骤四:查看域名验证是否生效 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。 根据不同的记录类型,选择执行表 验证命令所示命令,查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图4所示,说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值,显示为“Non-existent domain”,说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长,生效时间还未到,因此无法查询到数据。 请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如下图所示。 如配置的生效时间未到,请等时间到了后再进行验证。 图7 生效时间
-
DV证书DNS验证失败如何处理? 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。
-
如何解决SSL证书链不完整? 如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书。使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链,以华为的证书为例,手工构造完整的证书链步骤如下: 查看证书。单击浏览器前的锁,可查看证书状况,如图1所示。 图1 查看证书 查看证书链。单击“证书”,并选中“证书路径”页签,可单击证书名称查看证书状态,如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称,单击“详细信息”页签,如图3所示。 图3 详细信息 单击“复制到文件”,按照界面提示,单击“下一步”。 选择“Base64编码”,单击“下一步”,如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后,用记事本打开证书文件,按图5重组证书顺序,完成证书重构。 图5 证书重构 重新上传证书。 父主题: 问题排查类
-
约束条件 测试证书一个账号最多可以申请20张。同时,为了减少证书资源的浪费,SCM只支持单次申请一张测试证书。 20张的测试证书额度包括:已删除或已吊销证书,即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如,主账号已使用了20张的额度,则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完,还需继续使用测试证书,可以购买Digicert DV(basic) 单域名扩容包,对测试证书额度进行扩容。详细操作请参见测试证书额度已用完,该如何处理? 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名(通配符域名)。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低,所以建议只用于测试。 由于DigiCert品牌的DV(Basic)免费证书是无偿提供给个人用户用于测试或个人业务,因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务,您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后,不支持续费和续期,到期之后,将无法继续使用。如需继续使用SSL证书,请在控制台重新创建。
-
步骤三:DNS验证 DNS验证,是指在域名管理平台通过解析指定的DNS记录,验证域名所有权,即您需要到该域名的管理平台为该域名添加一条DNS记录。例如:如果您购买的是A公司的域名,您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名,且域名已使用华为云云解析服务,则无需进行任何操作,系统将自动添加DNS记录验证。 如果您是在其他域名管理平台(如万网、新网、DNSPod等)管理您的域名,则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后,需要按照证书列表页面的提示完成DNS验证,否则证书将一直处于“待完成域名验证”状态,且您的证书将无法通过审核。 DNS验证通过后,您需要耐心等待CA机构审核。
-
步骤四:签发证书 DNS验证通过之后,CA机构将还需要一段时间进行处理,请您耐心等待。CA机构审核通过后,将会签发证书。 证书签发后便立即生效,即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为: 提交申请后0-1h:15分钟轮询一次,如果配置没有问题,一般情况,10-20分钟签发证书。 提交申请后1-4h:30分钟轮询一次。 提交申请后4h-24h:1小时轮询一次。 提交申请后1-7天:4小时轮询一次。 提交申请后7天以上认定为订单超时,自动取消。此时,请参照为什么“证书状态”长时间停留在审核中?排查并解决问题。
-
约束与限制 满足以下条件(必须全部满足)的SSL证书订单,可申请退订: 您通过华为云SSL证书管理控制台购买了SSL证书。 距离SSL证书订单下单时间(完成支付的时间)不超过7个自然日,即距离SSL证书订单完成支付时间顺延不超过7*24小时。 例如,12月1日12:00完成SSL证书订单支付,则在12月8日11:59前可以退订,12月8日11:59后将不支持退订。 购买7天后不支持退款。 已购买的SSL证书符合以下情况之一: 未提交证书申请,证书状态为“待申请”。 提交过证书申请,证书未签发,且已取消申请,证书状态为“待申请”。 提交过证书申请,证书已签发,且在下单后7个自然日内完成了证书吊销流程(不仅是提交了吊销申请,须完成吊销流程),证书状态为“已吊销”。 全额退款将退还您在购买SSL证书时所支付的费用。 退款仅限于退还您在购买或续费SSL证书或相关服务订单时所支付的费用,代金券、优惠券抵扣的部分不支持退回。 多年期证书,第一张证书已签发,并在下单后7个自然日内完成了证书吊销流程,支持全额退订。
-
自己生成CSR 此时,不区分Apache环境和Nginx环境,均按以下步骤进行操作。 解压已下载的证书压缩包,获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA证书。 打开宝塔网站的“SSL”界面。 将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。
-
系统生成CSR 宝塔面板一般包含Apache环境和Nginx环境。 Nginx环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图1所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.crt”的内容复制粘贴到“证书(PEM格式)”的配置框中。 Apache环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图2所示。 图2 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”,“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 “证书ID_证书绑定的域名_server.crt”文件和“证书ID_证书绑定的域名_ca.crt”文件合并后录入到“证书(PEM格式)”的配置框中。 “server.crt”文件和“ca.crt”文件合并时,一定是“server.crt”内容在前,“ca.crt”内容在后,顺序不正确会导致Apache无法正常启动。 如果您的证书不是通过SCM签发的,下载的crt文件对应的名称是“_public.crt”和“_chain.crt”,与SCM签发的证书文件的对应关系是: “_public.crt”文件对应“server.crt”文件。 “_chain.crt”文件对应“ca.crt”文件。 合并时,“_public.crt”文件内容在前,“_chain.crt”文件内容在后。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
