华为云用户手册

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的 域名 。 找到并修改如下参数： ServerName www.example.com:443 完整配置如下（以“www.domain.com”为例）： ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数： SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 完整配置如下： SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数： SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径，且路径中不能包含中文字符，例如“cert/server.key”。 完整配置如下： SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数： #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”，并设置为“ca.crt”文件的路径，且路径中不能包含中文字符，例如“cert/ca.crt”。 完整配置如下： SSLCertificateChainFile "cert/ca.crt" 修改后，保存“ssl.conf”文件并退出编辑。

步骤五：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成 CS R”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级CA），并另存为“ca.crt”文件。 将“ca.crt”、“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

下载的证书文件说明 下载文件说明：根据申请证书时，选择的“证书请求文件”方式的不同，下载文件也有所不同。 申请证书时，如果“证书请求文件”选择的是“系统生成CSR”，则下载文件说明如下： 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件，如图解压SSL证书所示，具体文件说明如表下载文件说明所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Nginx server.crt：签名证书文件，包含两段证书代码，分别为服务器证书和CA中间证书。 server.key：签名证书私钥文件，包含一段签名证书私钥代码。 encrypt.crt：加密证书文件，包含一段加密证书代码。 encrypt.key：加密证书私钥文件，包含一段加密证书私钥代码。 Apache ca.crt：证书链文件，包含一段中级CA代码。 server.crt：签名证书文件，包含一段服务器证书代码。 server.key：签名证书私钥文件，包含一段证书私钥代码。 encrypt.crt：加密证书文件，包含一段加密证书代码。 encrypt.key：加密证书私钥文件，包含一段加密证书私钥代码。 domain.csr 证书请求文件。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，则下载文件说明如下： 下载的证书下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码，分别是服务器证书和CA中间证书。 签名证书私钥为用户自行保存的，华为云SSL证书管理不提供。在各个服务器上安装证书时，需要填写对应私钥的位置。

约束条件 仅支持在证书有效期内，不限次数的下载证书，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。 “证书请求文件”选择的是“系统生成CSR”，下载的文件包含了“Apache”、 “Nginx”、2个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”，下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码，分别是服务器证书和CA中间证书。签名证书私钥为用户自行保存的，华为云SSL证书管理不提供。

步骤五：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

前提条件 证书已签发且“证书状态”为“已签发”。 已下载SSL证书，具体操作请参见下载证书。 已安装OpenSSL工具。 您可以从“https://www.openssl.org/source/”下载最新的OpenSSL工具安装包（要求OpenSSL版本必须是1.0.1g或以上版本）。 已安装Keytool工具。 Keytool工具一般包含在Java Development Kit（JDK）工具包中。 待安装证书为国际标准证书。

步骤三：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：配置Resin 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 （可选）安装Resin。 如果已安装，则请跳过该步骤。 登录Resin官网并根据您的系统下载不同的应用程序包。 本步骤以下载Windows版本的Resin-4.0.38版本为例进行说明。 解压下载的Resin包。 进入Resin-4.0.38根目录并找到resin.exe文件。 运行resin.exe文件，运行期间将出现如图2所示的命令提示符窗口。 图2 提示窗口 运行完成后，启动浏览器，在Web地址栏中输入Resin默认地址“http://127.0.0.1:8080”，并按“Enter”。 当界面显示如图3所示时，则表示安装成功。 图3 登录Resin 修改配置文件。 在Resin安装目录下的“Resin.properties”配置文件（由于Resin版本的不同，配置文件也可能为“resin.xml”文件）中，找到如下参数： # specifies the --server in the config file # home_server : app-0 # Set HTTP and HTTPS bind address # http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080 # app.https : 8443 web.http : 8080 # web.https : 8443 将“app.https”和“web.https”前的注释符“#”去掉，并将“8443端”口修改为“443”。修改后，如下所示： “app.https”、“web.https”：指定服务器要使用的端口号，建议配置为“443”。 # specifies the --server in the config file # home_server : app-0 # Set HTTP and HTTPS bind address # http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080 app.https : 443 web.http : 8080 web.https : 443 找到如下参数，并将“jsse_keystore_tye”、“jsse_keystore_file”和“jsse_keystore_password”三行前的注释符“#”去掉。 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_tye : jks jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码 修改证书相关配置参数，具体配置请参见表1。 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_tye : jks jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码 表1 参数说明 参数 参数说明 jsse_keystore_tye 设定Keystore文件的类型，一般都设为jks jsse_keystore_file “server.jks”文件存放路径，绝对路径和相对路径均可。示例：cert/server.jks jsse_keystore_password “server.jks”的密码。填写“keystorePass.txt”文件内的密码。 须知： 如果密码中包含“&”，请将其替换成“&”，以免配置不成功。 示例： 如果keystorePass="Ix6&APWgcHf72DMu"，则修改为keystorePass="Ix6&APWgcHf72DMu"。 修改完成后保存配置文件。 重启Resin。

应用场景 域名证书监控功能用于为您统一监控所有站点的HTTPS状态并简化证书维护的复杂度，开启后可帮助您检测多个站点的HTTPS业务状态并及时发现站点上的SSL证书安全问题（例如：未配置SSL证书、证书已过期等），方便您统一维护多站点HTTPS，降低因人为疏忽导致HTTPS业务中断的风险。 初次使用域名证书监控功能，系统会为您发放一个有效期为7天的免费实例，您可以试用该实例体验域名证书监控功能。有效期截止后实例自动失效。 如需继续使用，您可以单击右上角“购买域名证书监控”购买更多域名证书监控实例。

约束条件 仅支持在证书有效期内，不限次数的下载证书，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。 “证书请求文件”选择的是“系统生成CSR”，下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”，下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA中间证书。私钥为用户自行保存的，华为云SSL证书管理不提供。

下载的证书文件说明 下载文件说明：根据申请证书时，选择的“证书请求文件”方式的不同，下载文件也有所不同。 申请证书时，如果“证书请求文件”选择的是“系统生成CSR”，则下载文件说明如下： 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示，具体文件说明如表1所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Tomcat keystorePass.txt：证书密码。 server.jks：证书文件。 Nginx server.crt：证书文件，包含两段证书代码，分别为服务器证书和CA中间证书。 server.key：证书私钥文件，包含一段证书私钥代码。 Apache ca.crt：证书链文件，包含一段中级CA代码。 server.crt：证书文件，包含一段服务器证书代码。 server.key：证书私钥文件，包含一段证书私钥代码。 IIS keystorePass.txt：证书密码。 server.pfx：证书文件。 domain.csr 证书请求文件。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，则下载文件说明如下： 下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA中间证书。 私钥为用户自行保存的，华为云SSL证书管理不提供。在各个服务器上安装证书时，需要填写对应私钥的位置。 “自己生成CSR”的证书不支持一键部署到云产品。

步骤三：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：配置IIS 安装IIS，请参照IIS相关安装指导进行安装。 打开IIS管理控制台，双击“服务器证书”，如图2所示。 图2 服务器证书 在弹出的窗口中，单击“导入”，如图3所示。 图3 导入 导入“server.pfx”证书文件，单击“确定”。 “密码”配置框内需要输入“keystorePass.txt”文件内的密码。 图4 导入pfx证书文件 鼠标右键单击目标站点（这里以默认站点为例），选择“编辑绑定”，如图5所示。 图5 编辑绑定 在弹出的窗口中，单击“添加”，并填写以下信息。 图6 添加网站绑定 类型：选择“https”。 端口：保持默认的“443”端口即可。 SSL证书：选择4导入的证书。 填写完成后，单击“确定”。

约束条件 免费证书、多域名类型证书、已吊销证书不支持重新签发。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。

步骤一：环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备nginx 下载nginx-1.18.0 tar zxfm nginx-1.18.0.tar.gz cd httpd-2.4.46 vi auto/lib/openssl/conf 将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存 ./configure \ --without-http_gzip_module \ --with-http_ssl_module \ --with-http_stub_status_module \ --with-http_v2_module \ --with-file-aio \ --with-openssl="/usr/local/gmssl" \ --with-cc-opt="-I/usr/local/gmssl/include" \ --with-ld-opt="-lm" 然后make install 则/usr/local/nginx为生成的国密版nginx目录 注：可能需要安装pcre-devel包。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx” 2个文件夹和1个“domain.csr”文件，如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”、私钥文件“证书ID_证书绑定的域名_server.key”、“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”，即“server.crt”。 将“证书ID_证书绑定的域名_encrypt.pem”的后缀名修改为“crt”，即“encrypt.crt”。 将“server.crt”，“encrypt.crt”，“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/nginx/conf目录下创建“cert”目录，并且将“server.key”、“server.crt”、“encrypt.key”和“encrypt.crt”复制到“cert”目录下。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置/usr/local/nginx/conf目录下的“nginx.conf”文件。 找到如下配置内容，并取消注释 #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 修改如下参数，具体参数修改说明如表参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下，其余参数根据实际情况修改： server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name test .com; #修改为您证书绑定的域名。 ssl_certificate /usr/local/nginx/conf/ cert/server.crt; #替换成您的签名证书文件的路径。 ssl_certificate_key /usr/local/nginx/conf/ cert/server.key; #替换成您的签名证书私钥文件的路径。 ssl_certificate /usr/local/nginx/conf/ cert/encrypt.crt; #替换成您的加密证书文件的路径。 ssl_certificate_key /usr/local/nginx/conf/ cert/encrypt.key; #替换成您的加密证书私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/server.key”。 修改完成后保存配置文件。

步骤七：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”，即“server.crt”。 将“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

步骤四：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置Nginx中“conf”目录下的“nginx.conf”文件。 找到如下配置内容： #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 删除行首的配置语句注释符号#。 server { listen 443 ssl; server_name localhost; ssl_certificate cert.pem; ssl_certificate_key cert.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } 修改如下参数，具体参数修改说明如表 参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下，其余参数根据实际情况修改： server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name www.domain.com; #修改为您证书绑定的域名。 ssl_certificate cert/server.crt; #替换成您的证书文件的路径。 ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符，例如“cert/server.key”。 修改完成后保存配置文件。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一： 环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备Apache httpd 安装必要开发包：pcre-devel，expat-devel，apr，apr-util，bison，bison-devel，flex，flex-devel 下载Apache httpd 2.4.46 tar zxfm httpd-2.4.46.tar.gz cd httpd-2.4.46 ./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-apr=/usr/local/apr/apr --with-apr-util=/usr/local/apr/util --with-ssl=/usr/local/gmssl LDFLAGS=-lm vi build/config_vars.mk 找到ab_LIBS = -L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl 将-L/usr/local/gmssl/lib -lssl -lcrypto替换为/usr/local/gmssl/lib/libssl.a /usr/local/gmssl/lib/libcrypto.a 然后make install 则/usr/local/httpd为生成的国密版Apache httpd目录

步骤二：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件，如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”，私钥文件“证书ID_证书绑定的域名_server.key”，“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级CA），并另存为“ca.crt”文件。 复制“证书ID_证书绑定的域名_encrypt.pem”文件的证书代码（加密证书），并另存为“encrypt.crt”文件。 将“ca.crt”、“server.crt”、“encrypt.crt”、“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/httpd/conf目录下创建“cert”目录，并且将“server.key”、“server.crt”、“ca.crt”、“encrypt.key”和encrypt.crt”复制到“cert”目录下。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache安装目录下“httpd.conf”文件 vi /usr/local/httpd/conf/httpd.conf 找到以下两行配置，取消注释 #LoadModule ssl_module modules/mod_ssl.so #Include conf/extra/httpd-ssl.conf 打开“httpd-ssl.conf”文件 vi /usr/local/httpd/conf/extra/httpd-ssl.conf 注释掉所有带SSLSessionCache的配置行 配置算法SSLCipherSuite HIGH:ECC-SM4-SM3:ECDHE-SM4-SM3 注释掉默认证书和key #SSLCertificateFile "/usr/local/httpd/conf/server.crt" #SSLCertificateKeyFile "/usr/local/httpd/conf/server.key" 配置国密双证书/私钥 SSLCertificateChainFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_ca.crt" SSLCertificateFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_server.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_server.key" SSLCertificateFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.key" 以上配置仅供参考，证书文件名，证书所在目录等配置请以您的实际情况为准。 验证配置文件 /usr/local/httpd/bin/httpd -t 当回显信息如下所示时，则表示配置正确： Syntax OK

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个SSL证书最多可以添加20个标签。 对于每个证书资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 如您的组织已经设定 云证书管理服务 的相关标签策略，则需按照标签策略规则为SSL证书添加标签。标签如果不符合标签策略的规则，则可能会导致SSL证书标签添加失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个SSL证书，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“/”、“=”、“+”、 cost 标签值 可以为空。 长度不超过255个字符。 首尾不能包含空格。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“/”、“=”、“+”、“-”、“@” 100

注册华为账号 并实名认证 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请参考以下步骤创建。 打开https://www.huaweicloud.com/，单击“注册”。 根据提示信息完成注册，详细操作请参见“如何注册华为云管理控制台的用户？”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考“企业实名认证”完成企业账号实名认证。 因为Organizations云服务为免费服务，因此无需为账号充值。

创建组织单元 用户可以按各种维度（例如业务范围、账号所有者或账号使用环境）对账号进行分组，相同分组的账号可以使用组织单元（Organizational Units，以下简称OU）进行归类和结构化管理。 例如按照公司A 4个账号的业务范围进行分类，Account y是开发团队的账号，归属于开发团队OU，Account z是运维团队的账号，归属于运维团队OU。开发团队和运维团队同属于公司研发部，因此可建立研发部OU，包含开发团队OU和运维团队OU。以此类推，Account x是财务部账号归属于财务部OU，Company A账号是整个公司的管理账号位于根组织单元中。最终组织结构如图2所示。 图2 组织单元结构 依照图3，可按照如下步骤创建组织单元： 以管理账号Company A的身份登录华为云，进入Organizations控制台。 在组织管理页面中，选中要创建OU的父节点，此处选择根OU。单击“添加”，单击“添加组织单元”。 图3 创建组织单元 在弹窗中填写OU名称，此处填写“研发部”，单击“确定”完成OU创建。以同样的方法，创建“财务部”OU。 图4 添加组织单元 选中研发部组织单元，参考以上步骤，创建“开发团队”和“运维团队”组织单元。最终组织结构如下图所示。 图5 组织结构

邀请账号加入组织 您已拥有一个组织，并搭建好了组织结构，现在您可以开始向其中填充账号。 邀请其他成员账号加入组织，要求成员账号需要完成实名认证，详情参见：实名认证。 邀请加入组织的成员账号，原财务关系不会调整，保留原有企业主子账号之间的财务模式。 以管理账号Company A的身份登录华为云，进入Organizations控制台。 在组织管理页面中，单击“添加”，单击“添加账号”。 图6 添加账号 在弹窗中，选择“邀请现有账号”，输入邀请账号的账号名或账号ID。此处示例为开发团队账号Account y的账号ID。如何获取账号名和账号ID请参见：获取账号名和ID。单击“确定”，向账号发出邀请。 图7 邀请账号 登录Account y账号，进入Organizations控制台，单击“接受”，开发团队账号Account y成功加入组织。 图8 接受邀请加入组织 登录Company A账号，进入Organizations控制台，在左侧导航栏选择组织管理，在组织结构中找到新加入的账号，单击选中新加入的账号。 单击“管理”，单击“移动账号”。 图9 移动账号 在弹窗中单击选择要加入的OU，此处选择“开发团队”。单击“确定”，完成账号移动。 参考以上步骤邀请财务部账号Account x和运维团队账号Account z加入组织。