华为云用户手册

RDS凭据使用流程 图1 产品架构 流程说明： 创建一个RDS凭据。 设置凭据名称、标签等。 配置自动轮转策略。 应用系统在使用过程中需要访问数据库时，可以向 CS MS服务请求访问凭据，获取凭据值，调用API接口详情请参见查询凭据版本和凭据值。 应用系统通过访问返回的凭据值解析明文数据，获取账号和密码后，可以访问该用户对应的目标数据库。 开启自动轮转后，数据库实例所托管的密码将定时轮转更新，请确认使用该数据库实例的应用端已完成代码适配，可在数据库连接建立时，动态获取最新凭据。 不要轻易缓存凭据中的任何信息，避免账号密码轮转后失效，导致数据库连接失败。

约束条件 初始版本的状态被标记为“SYSCURRENT”。 您可以将凭据的版本状态标记上服务内创建或者自定义类型的状态标签。每个版本可以被标记上多个状态标签，但是每个状态标签只能标记一个版本。目标状态标签为凭据对象内已经存在的状态标签时，首先自动会将此状态标签从其它版本上移除，然后标记至目标版本上。 凭据管理服务的每个凭据中最多可支持12个凭据版本状态，每个凭据版本状态同时仅能标识一个凭据版本。 “SYSCURRENT”和“SYSPREVIOUS”为服务内建的凭据状态，不可删除。

开启操作保护 登录管理控制台。 在“控制台”页面右上方的用户名处，在下拉列表中选择“安全设置”。 图1 安全设置 进入“安全设置”页面，单击“敏感操作”进入页面。在“操作保护”行，单击“立即启用”。 进入“操作保护设置”页面，选择“开启”，单击“确定”后，开启操作保护。 开启后，您以及账号中的 IAM 用户进行敏感操作时，例如查看凭据值、删除密钥等，需要输入验证码进行验证，避免误操作带来业务风险与损失。 用户如果进行敏感操作，将进入“操作保护”页面，选择认证方式，包括邮箱、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机，则认证方式只能选择手机。 如果用户只绑定了邮箱，则认证方式只能选择邮件。 如果用户未绑定邮箱、手机和虚拟MFA，进行敏感操作时，华为云将提示用户绑定邮箱、手机或虚拟MFA。 如需修改验证手机、邮箱、虚拟MFA设备，请在账号中修改。

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略有如下两种应用方式： 1. 事后检查 —— 资源标签如果违反标签策略，则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个 数据加密 服务资源最多可以添加20个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 如您的组织已经设定数据加密服务的相关标签策略，则需按照标签策略规则为密钥、凭据等添加标签。标签如果不符合标签策略的规则，则可能会导致密钥、凭据创建失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个自定义密钥，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ cost 标签值 可以为空。 长度不超过255个字符。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ 100

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护 域名 对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查类

约束条件 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

步骤三：DNS验证 DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权，即您需要到该域名的管理平台为该域名添加一条DNS记录。例如：如果您购买的是A公司的域名，您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则无需进行任何操作，系统将自动添加DNS记录验证。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后，需要按照证书列表页面的提示完成DNS验证，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。 DNS验证通过后，您需要耐心等待CA机构审核。

步骤四：签发证书 DNS验证通过之后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。 证书签发后便立即生效，即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为： 提交申请后0-1h：15分钟轮询一次，如果配置没有问题，一般情况，10-20分钟签发证书。 提交申请后1-4h：30分钟轮询一次。 提交申请后4h-24h：1小时轮询一次。 提交申请后1-7天：4小时轮询一次。 提交申请后7天以上认定为订单超时，自动取消。此时，请参照为什么“证书状态”长时间停留在审核中？排查并解决问题。

约束与限制 满足以下条件（必须全部满足）的SSL证书订单，可申请退订： 您通过华为云SSL证书管理控制台购买了SSL证书。 距离SSL证书订单下单时间（完成支付的时间）不超过7个自然日，即距离SSL证书订单完成支付时间顺延不超过7*24小时。 例如，12月1日12:00完成SSL证书订单支付，则在12月8日11:59前可以退订，12月8日11:59后将不支持退订。 购买7天后不支持退款。 已购买的SSL证书符合以下情况之一： 未提交证书申请，证书状态为“待申请”。 提交过证书申请，证书未签发，且已取消申请，证书状态为“待申请”。 提交过证书申请，证书已签发，且在下单后7个自然日内完成了证书吊销流程（不仅是提交了吊销申请，须完成吊销流程），证书状态为“已吊销”。 全额退款将退还您在购买SSL证书时所支付的费用。 退款仅限于退还您在购买或续费SSL证书或相关服务订单时所支付的费用，代金券、优惠券抵扣的部分不支持退回。 多年期证书，第一张证书已签发，并在下单后7个自然日内完成了证书吊销流程，支持全额退订。

自己生成CSR 此时，不区分Apache环境和Nginx环境，均按以下步骤进行操作。 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 打开宝塔网站的“SSL”界面。 将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。

系统生成CSR 宝塔面板一般包含Apache环境和Nginx环境。 Nginx环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图1所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.crt”的内容复制粘贴到“证书(PEM格式)”的配置框中。 Apache环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示。 图2 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 “证书ID_证书绑定的域名_server.crt”文件和“证书ID_证书绑定的域名_ca.crt”文件合并后录入到“证书(PEM格式)”的配置框中。 “server.crt”文件和“ca.crt”文件合并时，一定是“server.crt”内容在前，“ca.crt”内容在后，顺序不正确会导致Apache无法正常启动。 如果您的证书不是通过SCM签发的，下载的crt文件对应的名称是“_public.crt”和“_chain.crt”，与SCM签发的证书文件的对应关系是： “_public.crt”文件对应“server.crt”文件。 “_chain.crt”文件对应“ca.crt”文件。 合并时，“_public.crt”文件内容在前，“_chain.crt”文件内容在后。

如何选择证书品牌 目前 云证书管理 支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表1 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和 SSL数字证书 提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、谷歌、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 OCSP。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否 惠赠活动： 单域名：以域名www.a.com和根域名a.com为例进行说明 图1 品牌惠赠活动 泛域名：以域名*.a.com和*.a.b.com为例进行说明 图2 品牌惠赠活动

如何选择域名类型 购买SSL证书时，需要根据您的域名类型，选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表2 域名类型 参数名称 参数说明 单域名 单域名类型证书 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 多域名类型证书 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 须知： GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 如果您有 多个域名 ，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名（通配符域名） 泛域名类型证书，也叫通配符证书 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的泛域名证书，则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3。 如果您的域名未跨级别，则选择泛域名类型。 如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表3所示。 表3 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名， 云证书管理服务 默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表4所示： 表4 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1”

如何选择证书类型 购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上类型的证书。 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版数字证书。

SSL证书购买后多久生效？ 证书购买后，需要申请证书，CA机构将对用户提交的申请进行审核，审核通过后才会签发证书。 证书签发后立即生效。 证书的有效期为1年，即证书在审核通过之后的1年内有效，到期后将无法继续使用。如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 多域名类型的证书，如果是新增附加域名，证书有效期是从第一次签发日开始计算。 父主题： 证书有效期

申请SSL证书时，如何填写证书中绑定的域名？ SSL证书管理中的证书是绑定域名的，因此购买证书时，需要根据您的域名情况，选择对应的域名类型。 如果购买的是纯IP证书，则只需要绑定IP，在“域名信息”中，“绑定域名”请填写需要绑定的公网IP。 如果您想了解域名的相关概念，请参见域名的相关概念。 选择域名类型并成功购买证书后，需要将对应的域名绑定给已购买的证书，即需要在SSL证书管理控制台补全证书审核资料。而申请证书的第一步就是填写域名信息，将对应的域名绑定给已购买的证书。 SSL证书管理控制台会根据您购买的证书提示您需要输入的域名类型。 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live等敏感词，可能无法通过安全审核，建议选择OV或EV证书，目前已知敏感词请参见敏感词。 各域名类型具体说明如表1所示，更多参考内容可查看具体示例。 表1 绑定域名 参数名称 参数说明 单域名 仅可绑定1个普通域名。 绑定域名时，绑定1个普通域名即可。 多域名 可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。 例如，您购买的域名数量为3，则将其中1个域名设置为主域名，其他2个域名则设置为附加域名。 须知： 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名同时支持绑定单域名和泛域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 泛域名 仅可绑定1个泛域名。 绑定域名时，绑定1个含*的泛域名即可。 具体示例： 单域名型证书 当您购买的是单域名型证书，则仅支持绑定一个普通域名。 示例：您的域名为huaweicloud.com 申请证书时，则在“绑定域名”中填写huaweicloud.com即可，如图1所示。 图1 单域名绑定域名 多域名型证书 当您购买的是多域名型证书，则可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。附加域名可分批次多次录入，具体操作请参见新增附加域名。 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名同时支持绑定单域名和泛域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 示例：如果购买的是OV型SSL证书，域名数量为3，且您的域名为huaweicloud.com、test.huaweicloud.com和*.huaweicloud.cn 申请证书时，则在“绑定主域名”中填写huaweicloud.com，“绑定附加域名”填写test.huaweicloud.com和*.huaweicloud.cn。多个附加域名需要换行输入，如图2所示。 图2 多域名绑定域名 泛域名型证书 当您购买的是泛域名型证书，则支持绑定一个泛域名。 示例：您的域名为test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com、good.huaweicloud.com等，均在同一个级别 申请证书时，则在“绑定域名”中填写“*.huaweicloud.com”，如图3所示。 图3 泛域名绑定域名 父主题： 域名填写类

SCM中，泛域名类型证书，支持绑定哪些域名？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 其中，泛域名类型的证书，仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的通配符域名数字证书，则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表2。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表2所示。 表2 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。例如： *.huaweicloud.com的泛域名数字证书包含了huaweicloud.com，还可匹配同级别的域名。无需再购买证书绑定huaweicloud.com。 *.p1.huaweicloud.com的泛域名数字证书不包含p1.huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。

泛域名证书匹配域名的规则是什么，或者是否支持跨级匹配？ SSL证书管理服务中，支持购买“泛域名”类型的证书。 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如：“*.a.com”是正确的泛域名，但“*.*.a.com”则是不正确的。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名

SCM中，多域名类型证书，支持绑定哪些域名？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 其中，多域名类型的证书，可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 域名数量范围为“2~250”，支持最多绑定250个域名。

申请证书时，SSL证书绑定的域名是否需要备案通过后才能绑定？ 证书申请时，为SSL证书绑定的域名可以没有通过备案，但是在后续域名访问中，没有备案的域名会被拦截，导致域名无法访问，所以建议您搭建好网站后立即完成域名备案。 无论是个人备案的域名（网站是个人网站，不含有企业、单位等非个人网站的信息），还是企业备案的域名（网站是企业或者公司网站），都支持绑定SSL证书。 关于网站备案更详细的了解，请参见备案网站。

泛域名证书支持哪些域名？ 华为云SSL证书管理服务支持申请泛域名类型的证书，用户可以通过泛域名证书保护服务器的单个域名和该域名下同级别的所有子域名。OV企业型、OV Pro企业型专业版和DV域名型、DV基础版（GeoTrust入门级SSL证书）类型证书支持泛域名。 如果您拥有多个同级别子域名服务器，使用泛域名证书即可，无需为每个子域名单独购买和安装证书。 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 您的数字证书一旦颁发后，将无法修改域名信息等。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，域名级别说明请参见域名的相关概念。 匹配示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.example.com abc.example.com、sport.example.com、good.example.com等域名 mycard.good.example.com、mycalc.good.example.com等域名 *.good.example.com mycard.good.example.com、mycalc.good.example.com等域名 abc.example.com、sport.example.com、good.example.com等域名 父主题： 域名填写类

访问网站时，为什么会提示不安全？ 如果您的网站未绑定SSL证书的，访问都会提示不安全。 如果您需要实现网站HTTPS化，可通过购买SSL证书并部署在网站对应的服务器上来实现。 SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 部署SSL证书后，通过https访问网站时，在地址栏或地址栏右侧有加密锁标志，能直观的表明网站是加密的。使用EV证书，公司名称能直接显示在地址栏。 购买证书详细操作请参见购买证书。

购买证书时，提示证书数量已经达到最大值，是什么意思？ 当您在SCM控制台购买证书时，出现“当前用户证书数量已经达到最大值，不能继续添加”提示信息，表示当前账号的免费证书额度已用完。如需继续购买SSL证书，建议您购买收费证书。 免费的SSL证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张免费证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？

DNS验证后，配置未生效 域名授权验证配置未生效可能有以下原因，请根据实际情况进行处理： 表1 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图1 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图2 生效时间

SSL证书是一次性产品，到期后如何申请？ SSL证书是一次性产品，且存在有效期限制。证书到期后将无法继续使用。如需继续使用证书，您可以在证书到期前进行续费。证书续费详细操作请参见续费SSL证书。 SCM会在证书到期前30天提醒您证书即将到期。 已签发的证书，系统还会在证书到期前两个月、一个月、一周、三天、一天和到期时，发送邮件和短信提醒用户。 上传的第三方证书过期后，如您需要继续使用，请重新购买并上传，上传证书操作具体请参考上传已有SSL证书。 重新购买或续费证书成功后（重新购买、手动续费时您需要重新提交证书审核申请），您将获得一张新的证书，您需要在您的服务器上安装新证书来替换即将过期的证书，或在对应的云产品中替换新的证书。 新证书签发后即可替换，替换过程不会影响业务。 如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 证书续费后，新旧证书有效期说明如下： 续费证书信息不变 在证书信息不变情况下，新申请的证书的到期时间=原证书到期时间+新申购证书的有效期。最多累加30天，如果您未开通自动续费，建议您提前30天开始申请证书。 示例：您的原有证书到期时间是2019年10月1号，您于2019年8月31号申请同品牌、同类型SSL证书，有效期为1年。新证书于2019年9月1号签发，签发有效期将为2019年9月1号~2020年9月30号。 此条规则由证书签发CA制定、解释和澄清，如有疑问，华为云将配合您与CA机构进行沟通和协商。 手动续费过程中修改了新证书信息（如域名、证书类型或公司名称等不同于旧证书） 新旧证书有效期分别计算。 新签发证书不影响之前旧证书，旧证书到期前均可使用，两张证书均可使用。 新证书获取后，需要在服务器上安装新的证书来替换即将过期的证书，或在对应的云产品中替换新的证书。具体可参照以下步骤进行处理： 安装国际标准证书详细操作，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 在其他云产品中使用证书操作请参见如何将SSL证书应用到 华为云产品 ？。 父主题： 证书有效期

背景 SSL证书存在有效期限制，到期后将无法继续使用，所以如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 为了防止您的证书到期后给您的业务造成风险，我们提供了以下到期提醒的方式： 控制台提醒方式，即上传的证书和已签发的证书到期前30天，SSL证书管理控制台会提示您有即将到期的证书。如图1所示。 图1 证书列表 消息提醒方式。在SSL证书管理服务中签发的证书和上传的证书支持证书到期前消息提醒功能，即在证书即将到期前两个月、一个月、一周、三天、一天及证书过期当天，系统将默认向证书申请人或配置的消息接收人发送证书到期提醒信息。如果您想增加或者修改 消息通知 接收人，可以参考配置消息接收人进行配置。

SSL证书即将到期，该如何处理？ SSL证书存在有效期限制。证书过期前必须及时续费，否则将导致证书过期后不被信任，已安装证书的网站业务会受到影响（提示访问不安全或无法访问）。 SSL证书即将到期前，可在控制台设置开通自动续费或手动执行续费操作。手动续费操作入口将在SSL证书到期前30个自然日内开放，其余时间不支持操作。 SCM会在证书到期前30天提醒您证书即将到期。 已签发的证书，系统还会在证书到期前两个月、一个月、一周、三天、一天和到期时，发送邮件和短信提醒用户。 上传的第三方证书过期后，如您需要继续使用，请重新购买并上传，上传证书操作具体请参考上传已有SSL证书。 重新购买或续费证书成功后（重新购买、手动续费时您需要重新提交证书审核申请），您将获得一张新的证书，您需要在您的服务器上安装新证书来替换即将过期的证书，或在对应的云产品中替换新的证书。 新证书签发后即可替换，替换过程不会影响业务。 如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 证书续费后，新旧证书有效期说明如下： 续费证书信息不变 在证书信息不变情况下，新申请的证书的到期时间=原证书到期时间+新申购证书的有效期。最多累加30天，如果您未开通自动续费，建议您提前30天开始申请证书。 示例：您的原有证书到期时间是2019年10月1号，您于2019年8月31号申请同品牌、同类型SSL证书，有效期为1年。新证书于2019年9月1号签发，签发有效期将为2019年9月1号~2020年9月30号。 此条规则由证书签发CA制定、解释和澄清，如有疑问，华为云将配合您与CA机构进行沟通和协商。 手动续费过程中修改了新证书信息（如域名、证书类型或公司名称等不同于旧证书） 新旧证书有效期分别计算。 新签发证书不影响之前旧证书，旧证书到期前均可使用，两张证书均可使用。 父主题： 证书有效期

上传证书时，“证书文件”该如何填写？ SCM支持用户将所拥有的证书上传到SSL证书管理平台，以便在SSL证书管理平台对您的证书进行统一管理。 上传已有证书到SCM中时，需要上传“证书文件”，如图1所示。 图1 证书文件 目前SSL证书管理平台只支持上传PEM格式的证书文件。 上传证书文件时，以文本方式打开待上传证书里的PEM格式的文件（后缀名为“.pem”），将证书内容复制到图1的“证书文件”中即可。 如果上传时，系统提示证书链不完整，请参见以下方式进行处理： 一般情况下，中级机构颁发的证书文件包含多份证书，如包含服务器证书和证书链2个*.PEM格式的证书内容。在SCM中上传证书文件时，需要将所有证书拼接在一起组成一份完整的证书后再上传。更多证书链相关介绍请参见证书链配置说明。 拼接时，须按照“服务器证书-证书链”的顺序进行拼接，具体方法如下： 通过记事本打开所有*.PEM格式的证书文件。 将服务器证书放在首位，再放置证书链。 一般情况下，中级机构在颁发证书的时候会有对应说明，请注意查阅相关规则。通用的规则如下： 证书之间没有空行。 证书链的格式如下： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- 拼接后的证书文件如图2所示。 图2 拼接后的PEM证书文件 父主题： SSL证书管理类

操作步骤 打开证书文件，选择证书路径，依次导出CA证书和中间证书，如图 导出证书。 图1 导出证书 点击CA证书，查看证书，再点击详细信息页面的“复制文件”。 图2 查看证书 单击“下一步”。 选择Base64格式并点击下一步。 点击“完成”。 按步骤再次导出中间证书。 MMC控制台导入CA和中间证书。 将CA与中间证书分别导入下图位置。 将中间证书导入到中间证书颁发机构后再重新操作IIS服务器安装证书，无报错。