云服务器内容精选
-
约束条件 如果资源所有者与您属于同一组织,且启用“启用与组织共享资源”功能,将自动获得共享资源的访问权限,无需接受邀请。 如果资源所有者与您不属于同一组织,或者属于同一组织但未启用“启用与组织共享资源”功能,将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天,如果在到期前未接受邀请,系统会自动拒绝邀请,如还需使用共享资源,请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能,具体操作请参见启用与组织共享资源。
-
私有证书安装说明 私有证书下载后需要安装到服务器上进行使用,非国密证书的安装操作与国际标准SSL证书安装操作相同,您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书
-
下载的证书文件说明 根据申请私有证书时,选择的“证书请求文件”方式(“系统生成文件”和“自己生成文件”)的不同,下载文件也有所不同。 系统生成文件 申请私有证书时,如果“证书请求文件”选择的是“系统生成文件”,则下载文件说明如表2所示。 表2 下载文件说明(一) 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat keystorePass.txt:证书密码。 server.jks:证书文件。 Nginx server.crt:证书文件,分别为服务器证书和证书链。 server.key:证书私钥文件。 Apache chain.crt:证书链文件。 server.crt:证书文件。 server.key:证书私钥文件。 IIS keystorePass.txt:证书密码。 server.pfx:证书文件。 其他 chain.pem:证书链文件。 server.key:证书私钥文件。 server.pem:证书文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封: 是,zip压缩包中包含的文件为: chain.pem :证书链文件 encSm2EnvelopedKey.key :国密SM2数字信封 encCert.pem:加密证书文件 signCert.key:签名证书私钥文件 signCert.pem:签名证书文件 否,zip压缩包中包含的文件为: chain.pem :证书链文件 encCert.key :加密证书私钥 encCert.pem:加密证书文件 signCert.key:签名证书私钥文件 signCert.pem:签名证书文件 自己生成文件 申请私有证书时,如果“证书请求文件”选择的是“自己生成文件”,则下载文件说明如表3所示。 表3 下载文件说明(二) 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat server.crt:证书文件。 chain.crt:证书链文件。 Nginx server.crt:证书文件 Apache server.crt:证书文件。 chain.crt:证书链文件。 IIS server.crt:证书文件。 chain.crt:证书链文件。 其他 cert.pem:证书文件。 chain.pem:证书链文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封: 是,zip压缩包中包含的文件为: chain.pem :证书链文件 encSm2EnvelopedKey.key :国密SM2数字信封 encCert.pem:加密证书文件 signCert.pem:签名证书文件 否,zip压缩包中包含的文件为: chain.pem :证书链文件 encCert.key :加密证书私钥文件 encCert.pem:加密证书文件 signCert.pem:签名证书文件
-
步骤一:获取文件 在本地解压已下载的证书文件。 获得证书文件“ca.crt”、“server.crt”和私钥文件“server.key”。 “ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。
-
步骤三:修改配置文件 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的 域名 。 找到并修改如下参数: ServerName www.example.com:443 完整配置如下(以“www.domain.com”为例): ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数: SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径,且路径中不能包含中文字符,例如“cert/server.crt”。 完整配置如下: SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数: SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径,且路径中不能包含中文字符,例如“cert/server.key”。 完整配置如下: SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数: #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”,并设置为“ca.crt”文件的路径,且路径中不能包含中文字符,例如“cert/ca.crt”。 完整配置如下: SSLCertificateChainFile "cert/ca.crt" 修改后,保存“ssl.conf”文件并退出编辑。
-
效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
-
PCA自定义策略样例 示例1:授权用户创建CA { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:create ], "Effect": "Allow" } ]} 示例2:拒绝用户删除证书 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“PCA FullAccess”的系统策略,但不希望用户拥有“PCA FullAccess”中定义的删除证书权限,您可以创建一条拒绝删除证书的自定义策略,然后同时将“PCA FullAccess”和拒绝策略授予用户,根据Deny优先原则,则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:delete" ], "Effect": "Deny" } ]}
-
约束条件 证书安装前,务必在安装私有证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书,需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中,详细操作请参见信任根CA。 如果一个域名有多个服务器,则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即申请的是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。
-
PCA支持 云审计 的操作列表 云审计服务记录私有证书管理相关的操作事件,如表1所示。 表1 云审计服务支持的PCA操作列表 操作名称 资源类型 事件名称 创建CA CA createCertificateAuthority 激活CA CA generateCertificateAuthority 导出CA CA exportCertificateAuthority 恢复CA CA restoreCertificateAuthority 启用CA CA enableCertificateAuthority 禁用CA CA disableCertificateAuthority 删除CA CA deleteCertificateAuthority 申请证书 endEntityCert createCertificate 删除证书 endEntityCert deleteCertificate 吊销证书 endEntityCert revokeCertificate 父主题: PCA关键操作审计管理
-
私有证书申请概述 私有证书管理(Private Certificate Authority,PCA)是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作,建立用户自己完整的CA层次体系并使用它签发证书,实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任,在Internet上不受信任。如需使用在Internet上受信任的证书,请购买SSL证书,具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示,流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 购买私有CA 根据需要购买私有CA。 2 激活私有CA 购买私有CA实例后,需要激活才能用于签发证书。 您可以选择激活已购买的私有CA实例为根CA或子CA。激活后私有CA正式生效,并且可用于签发私有证书。 3 申请私有证书 通过已激活的私有CA,申请私有证书。 4 下载私有证书 申请完成后,即可下载私有证书并在服务器上安装使用。
-
约束条件 证书安装前,务必在安装私有证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书,需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中,详细操作请参见信任根CA。 如果一个域名有多个服务器,则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即申请的是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。
-
步骤二:配置Weblogic 登录Weblogic服务器管理控制台。 单击页面左上方“Lock & Edit”,解锁配置。 在“Domain Configurations”中,单击“Servers”。 图1 服务器 在服务器列表中,选择您需要配置服务器证书的Server,进入服务器的设置页面。 图2 目标服务器 修改HTTPS端口。 在服务器的配置页面,选择“General”页签,配置是否启用HTTP和HTTPS,以及访问端口号。 请勾选“Listen SSL Port Enabled”,并修改端口号为“443”。 图3 端口 配置认证方式和密钥。 在服务器的配置页面,选择“Keystores”页签,配置认证方式。 图4 认证方式 服务器身份认证请选择“Custom identity and Java Standard Trust”。 双向认证请选择“Custom Identity and Custom Trust”。 在“Identity”区域中,配置密钥。 配置密钥库文件server.jks所保存的服务器上的路径,并填写密钥库文件密码。 图5 密钥 Custom Identity Keystore:请填写jks文件保存路径。示例:C:\bea\server.jks Custom Identity Keystore Type:文件格式请填写“jks”。 Custom Identity Keystore Passphrase:请填在证书密码,即“keystorePass.txt”中的密码。 Confirm Custom Identity Keystore Passphrase:请再次填写证书密码。 在单向认证中,需要配置JRE默认信任库文件cacerts。 Cacerts默认密码为changeit。 图6 信任库文件 Java Standard Trust Keystore Passphrase:输入默认密码changeit。 Confirm Java Standard Trust Keystore Passphrase:再次输入默认密码。 配置服务器证书私钥别名。 在服务器的配置页面,选择“SSL”页签,配置以下参数: 图7 私钥 Identity and Trust Locations:请选择为“Keystores”。 Private KeyAlias:配置私钥库中的私钥别名信息。私钥别名可以使用keystool -list命令查看。 Private Key Passphrase:输入私钥保护密码。通常私钥保护密码和keystore文件保护密码相同。 Confirm Private Key Passphrase:再次输入私钥保护密码。 设置完成后,单击“Active Changes”,保存所有修改。 图8 保存配置 (可选)如果系统提示需要重启Weblogic,则需要重启后才能使配置生效。如图9所示,则无需重启。 图9 提示信息
-
效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
-
约束条件 证书安装前,务必在安装私有证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书,需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中,详细操作请参见信任根CA。 如果一个域名有多个服务器,则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即申请的是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。
-
效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
