华为云用户手册

大批量Region上下线过载场景调优 当集群规模较大，Region数过多时，同时重启多个RegionServer，当涉及需要重新上线的Region数过多时（10w+），可能会导致HMaster过载，Region上线慢。 可在Manager界面的HBase配置中调整表4中的参数，提升HMaster处理高优先级请求的能力，减少HMaster过载。 表4 大批量Region上下线过载相关参数调优 实例名称 参数名称 参数描述 调整策略 HMaster hbase.regionserver.metahandler.count HMaster处理高优先级请求的Handler数量。 调大此Handler值，不建议超过1000。 hbase.ipc.server.metacallqueue.read.ratio 高优先级请求队列中读队列的比例，会影响meta读/写Handler的数量。 建议保持默认设置，默认值为“0.5”。 RegionServer hbase.regionserver.msginterval RegionServer与HMaster进行消息传输的时间间隔。 调大此参数可以减轻HMaster压力，建议设置为15s。

操作场景 Succinct Trie特性优化了HFile Block结构，开启后可以减少缓存空间的使用，降低缓存数据驱逐率，提升缓存命中率，适用于频繁读取数据的场景，优化了数据读取性能。 开启Succinct Trie后，HFile文件将不兼容开源版本，如果使用HFile进行数据迁移，且需要迁移到 MRS 3.2.0及之前版本时，需要先关闭此特性，再对数据表执行major compaction生成新的HFile文件。

Proxy版本发布记录 表6 Proxy版本发布记录 版本号 更新级别 发布日期 类型 说明 5.0.14.8 LOW 2025-03-30 功能优化 优化慢日志和最大时延统计方式。 5.0.14.7 MEDIUM 2024-12-25 缺陷修复 增强稳定性。 优化内部连接，修复大集群场景下连接数过载的问题。 5.0.14.6 MEDIUM 2024-11-05 缺陷修复 修复redis 6命令兼容性问题。 5.0.14.5 MEDIUM 2024-10-23 缺陷修复 增强稳定性。 5.0.14.2 LOW 2024-10-08 功能优化 增强稳定性。

小版本发布记录（2024年前） 分布式缓存服务Redis的历史版本号格式为：x.y.z，版本号具体含义如下。 x: 主版本号，代表大版本。 y: 次版本号。 z: 补丁版本号。 表7 Redis 6内核版本发布记录 版本号 日期 特性描述 6.2.10 2023年11月 修复cluster因为publish消息至所有连接节点导致的内存增长后无法下降的问题。 2023年5月 支持写带宽控制。 2023年3月 修复带宽流控统计。 2023年3月 修复带宽module中的连接类型错误。 2022年10月 修复更新密文时的内存释放错误。 2022年5月 sentinel支持拓展功能。 2022年5月 支持过期键老化速度优化。 2022年5月 合入Redis社区6.2.10版本。 表8 Redis 5内核版本发布记录 版本号 日期 特性描述 5.0.14 2023年11月 新增persistence-error-check配置项。 2023年10月 支持集群模式磁盘故障下倒换。 2023年4月 修改内核，定制化slowlog输出。 2023年3月 优化流控默认参数。 2023年1月 更改计数器流控为令牌桶。 2022年10月 添加 watch，wait，psubscribe到只读命令。 2022年10月 支持运行时动态重命名命令功能。 2022年4月 合入Redis社区5.0.14版本。 2021年10月 过期key内核老化速度优化。修复中文格式乱码问题。 2021年9月 内核过期速度优化。 2021年8月 支持写带宽控制。 2021年8月 支持带宽控制和命令时延记录。 2021年4月 修复redis代码中announce模块存在数据溢出风险的问题。 2021年1月 修复新创建的redis实例无法写入AOF的问题。 2020年10月 修复用户的身份验证命令。 2020年10月 在通用模块API函数中支持流。 2020年5月 修复migrate日志、slowlog和monitor输出中可能出现明文密码的问题。 2020年4月 合入Redis社区5.0.9版本。 2020年3月 修复aof rewrite小概率存在无法结束的bug。 2020年3月 修复lua相关的内存泄漏。 2019年11月 合入Redis社区5.0.7版本。 表9 Redis 4内核版本发布记录 版本号 日期 特性描述 4.0.14 2023年4月 支持动态重命名。 2023年3月 日志修改。 2022年10月 添加watch，wait，psubscribe到只读命令。 2022年7月 支持rename-command命令。 2021年12月 修复安全漏洞CVE-2020-14147。 2021年10月 过期key内核老化速度优化。 2021年9月 内核过期速度优化。 2021年8月 支持写带宽控制。 2021年4月 优化重构monitor代码，去除数据面冗余文件。 2020年8月 删除Lua中的随机值函数。 2020年4月 修复使用redis crash时日志打印不适用bio线程的问题。 2020年3月 解决EulerOS中glibc版本过老问题。 2020年1月 增加maxrss配置项，删除maxkeys配置项。 2020年1月 支持maxkeys配置，keys个数据超过maxkeys时，强制淘汰。 2019年7月 修复安全漏洞CVE-2019-10193。 2019年7月 修复安全漏洞CVE-2019-10192。 2019年3月 合入Redis社区4.0.14版本。

小版本发布记录 表1 Redis 7内核版本发布记录 版本号 更新级别 发布日期 类型 说明 7.2.8.1 HIGH 2025-04-07 功能优化 增强稳定性。 7.2.8.0 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 修复CVE-2024-51741安全漏洞。 7.2.7.1 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31227安全漏洞。 修复CVE-2024-31228安全漏洞。 7.2.7.0 不涉及 2024-11-15 首次发布 首次发布开源7.2.0版本。 表2 Redis 6（企业版）内核版本发布记录 版本号 更新级别 发布日期 类型 说明 6.2.6.5 HIGH 2025-03-30 缺陷修复 修复安全漏洞CVE-2024-46981。 表3 Redis 6（基础版）内核版本发布记录 版本号 更新级别 发布日期 类型 说明 6.2.17.1 HIGH 2025-04-07 功能优化 增强稳定性。 6.2.17.0 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 6.2.16.1 HIGH 2024-12-25 缺陷修复 修复流控场景下小概率节点异常的问题。 6.2.14.1 HIGH 2024-10-14 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 6.2.14.0 HIGH 2024-08-21 缺陷修复 修复CVE-2023-45145安全漏洞。 表4 Redis 5内核版本发布记录 版本号 更新级别 发布日期 类型 说明 5.0.14.6 HIGH 2025-04-07 功能优化 增强稳定性。 5.0.14.5 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 5.0.14.4 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 修复CVE-2022-24834安全漏洞。 5.0.14.3 LOW 2024-11-25 功能优化 增强磁盘故障时的可靠性。 5.0.14.2 MEDIUM 2024-11-05 功能优化 修复迁移时特殊命令可能导致主从进度不一致的问题。 5.0.14.1 LOW 2024-10-14 功能优化 增强稳定性。 5.0.14.0 LOW 2024-09-14 功能优化 增强稳定性。 表5 Redis 4内核版本发布记录 版本号 更新级别 发布日期 类型 说明 4.0.14.24 HIGH 2025-04-07 功能优化 增强稳定性。 4.0.14.23 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 4.0.14.22 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 4.0.14.21 LOW 2024-11-26 缺陷修复 修复迁移时特殊命令可能导致主从进度不一致的问题。 4.0.14.0 LOW 2024-09-14 功能优化 增强稳定性。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 E CS ：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 虚拟私有云 VPC：为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

快速卸载 登录虚拟私有云 VPC控制台，选择”对等连接”，单击“删除“。在弹出的框中输入“DELETE“，单击“确定“。 图1 虚拟私有云控制台 图2 删除对等连接 解决方案部署成功后，登录 资源编排 服务 RFS，进入“资源栈”，选择创建的资源栈名称，单击该方案堆栈后的“删除”。 图3 一键卸载 在弹出的删除堆栈确认框中，输入Delete，单击“确定”，即可卸载解决方案。 图4 删除堆栈确认 父主题： 实施步骤

高可用版 登录华为云解决方案实践，选择“快速构建高可用Solr集群”解决方案。单击“一键部署（高可用版）”，跳转至解决方案创建堆栈界面。 图10 解决方案实施库 在选择模板界面中，单击“下一步”。 图11 选择模板 在配置参数界面中，参考表2完成自定义参数填写，单击“下一步”。 图12 配置参数 （可选，如果使用华为主账号或admin用户组下的 IAM 子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图13 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图14 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图15 创建执行计划 待执行计划状态为“创建成功，待部署”后，单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图16 执行计划 图17 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表3）请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图18 资源创建成功

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规格(包年包月)--单机版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 区域：华北-北京四 计费模式：包年包月 规格：镜像：CentOS 7.6 64bit 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 系统盘：高IO | 100GB 购买量：1 187.20元 合计 187.20元 表2 资源和成本规格(按需计费)--单机版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费：0.41元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 购买时长：720小时 295.20元 合计 295.20元 表3 资源和成本规格(包年包月)--高可用版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS(ZooKeeper集群) 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.medium.2 | 1vCPUs | 2GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：3 321.60元 弹性云服务器 ECS(SolrCloud集群) 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：4 748.80元 合计 1070.40元 表4 资源和成本(按需计费)--高可用版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS(ZooKeeper集群) 按需计费：0.22元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：3 购买时长：720小时 475.20元 弹性云服务器 ECS(SolrCloud集群) 按需计费：0.41元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：4 购买时长：720小时 1,180.80元 合计 1656.00元

约束与限制 该解决方案部署前，需 注册华为账号 并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 如果选用IAM委托权限部署资源，请确保使用的华为云账号有IAM的足够权限，具体请参考创建rf_admin_trust委托（可选）；如果使用华为主账号或admin用户组下的IAM子账户可不选委托，将采用当前登录用户的权限进行部署。 该解决方案默认部署在新建VPC下，VPC 网段为：172.16.0.0/16。使用该方案前，必须保证业务系统和Solr服务的网络互通。具体配置可参考VPC对等连接，更多详情可参考VPC对等连接官网。

给rf_admin_trust委托添加IAM Agency Management FullAccess策略（可选） 打开“统一身份认证”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAccess，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAccess策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

Solution as Code一键式部署类最佳实践 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表2 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 等保二级解决方案 帮您在华为云上快速部署等保二级合规解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 CCM、WAF、HSS、MTD、CFW 等保三级解决方案 依托华为云自身安全能力与安全合规生态，为用户提供一站式的等保三级安全解决方案，轻松满足等级保护合规要求。 CCM、WAF、HSS、MTD、CFW、CBH、DBSS、CodeArts Inspector

背景知识 建立组织内部完整的CA层次体系称为自建PKI体系。 在自建PKI体系时，需要根据使用场景提前设计好结构，以便后续管理： CA层次的选择 CA层次决定了创建各级从属CA时所需设置的路径长度，以限制其向下签发从属CA的能力，同时影响证书链的长度。 恰当的CA层次设计，有利于CA的管理。PCA服务支持最多可创建七层CA结构，不同CA结构的区别请参见私有CA层次结构设计 证书的轮换 证书有效期到期前需要进行新旧证书的替换，避免因证书过期导致业务中断，新旧证书替换的过程即为证书的轮换。 证书有效期的长短决定了证书轮换的周期，合适的证书有效期设置可降低密钥材料泄露的风险和减少证书轮换的成本，关于PCA有效期设置可参考PCA证书有效期。 证书吊销管理 当证书出现密钥泄漏或者因某些因素不再被使用时，需要将其吊销。因此在创建CA时，需要开启证书吊销列表，同时在自身业务的检验证书环节中要检验证书是已被吊销。

约束与限制 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书如果指定了多个 域名 ，更新证书前需要注意SCM证书的域名与其是否完全匹配。如果不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。

操作步骤 您需要根据您实际的业务场景需求购买相应的证书，详细操作请参见购买SSL证书。 图2 如何选购证书 成功购买证书后，您需要申请证书，即为证书绑定域名、填写证书申请人的详细信息并提交给证书颁发机构审核，详细操作请参见申请SSL证书。 提交审核后，证书颁发机构将向您填写的邮箱发送一封验证邮件，您需要根据申请证书时填写的域名验证方式进行域名验证，详细操作请参见验证域名所有权。 当您申请的是OV和EV类型证书时，域名验证完成后，CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系，确认企业/组织是否发起了此次的证书订单申请。详细操作请参见组织验证。 不同证书的签发周期如表 证书审核周期所示，请您耐心等待证书签发。 域名验证和组织验证都需要您配合CA机构完成，若您未及时配合会影响证书的签发周期。 表1 证书审核周期 证书类型 审核周期 EV CA机构人工审核信息。 在信息正确的情况下审核周期一般为7～10个工作日。 OV CA机构人工审核信息。 在信息正确的情况下审核周期一般为3～5个工作日。 DV 无人工审核。 CA机构签发系统自动检查域名授权配置，DNS配置正确的情况下（需要您自行排查DNS配置是否正确）可在数小时内快速颁发。 证书签发后，请将证书下载到本地，详细操作请参见下载SSL证书。 安装SSL证书，让服务器开启HTTPS加密通信，不同Web服务器安装SSL证书的具体操作不同，以下介绍了几种在主流Web服务器上安装SSL证书的方法，请根据您的需要进行选择： 在Tomcat上安装SSL证书的详细指导操作请参见如何在Tomcat上安装SSL证书？。 在Nginx上安装SSL证书的详细指导操作请参见如何在Nginx上安装SSL证书？。 在Apache上安装SSL证书的详细指导操作请参见如何在Apache上安装SSL证书？。 在IIS上安装SSL证书的详细指导操作请参见如何在IIS上安装SSL证书？。 在Weblogic上安装SSL证书的详细指导操作请参见在Weblogic服务器上安装SSL证书。

前提条件 请准备基础认证信息： AC CES S_KEY：华为云账号Access Key SECRET_ACCESS_KEY：华为云账号Secret Access Key DOMAIN_ID：华为云账号ID，详情请参见华为云账号基本概念 CCM_ENDPOINT：华为云CCM服务(PCA属于CCM下的微服务)访问终端节点，详情请参见终端节点说明 华为云SDK，提供统一的SDK使用方式。通过添加依赖或下载的方式调用华为云API，访问华为云应用、资源和数据。 PCA服务统一SDK地址见 SDK中心 。 华为云统一SDK使用指导请参见华为云开发者Java软件开发工具包（Java SDK）。 父主题： PCA代码示例最佳实践

私有证书轮换 私有证书被部署在服务节点上（包含私钥），频繁用于加密通信，为了避免私钥的泄露，通常根据业务场景的安全级别要求，来设定私有证书的有效期以及私有证书轮换（即新私有证书替换旧私有证书）的周期。例如，当私有证书被用于高机密的加密会议场景时，私有证书的有效期可能是小时级别的，而当私有证书被用于部署在web服务器时，通常有效期为年级别（当前国际证书颁发机构签发的SSL证书，有效期基本都为1年）。 私有证书的轮换周期是根据私有证书的过期时间来设定的，基本原则是在旧私有证书过期前，将新私有证书替换到对应的工作节点上，避免因私有证书过期导致业务通信中断。 私有证书即将过期时，请预留足够的缓冲时间，来确保私有证书被成功轮换，避免当出现不可控因素导致轮换失败时（这时需要一定的时间进行重试或者手动替换），旧私有证书过期导致业务中断。 若被成功替换下来的旧私有证书，还有较长的有效期时，将其吊销可避免被滥用。 若新私有证书的根CA与旧私有证书的根CA不一致，则需要将新私有证书信任的根CA加到根CA信任列表中。 父主题： 私有证书管理最佳实践

私有证书生命周期管理 私有证书生命周期管理操作说明如表 私有证书生命周期管理操作说明所示。 表1 私有证书生命周期管理操作说明 操作 说明 备注 申请私有证书 申请私有证书，一般可根据实体在通信中扮演的角色，将私有证书分为客户端证书和服务器证书。申请私有证书前，用户需要有已创建好的可用于签发证书的私有CA。 私有证书按个数收费，一经签发，不支持退费。 私有证书的通用名称（common name）允许重复，建议您为私有证书取具有标识性的名称，以便区别。 导出私有证书 导出申请好的私有证书（包含私钥），用户可根据自己的需要，选择需要导出的格式。 私有证书的私钥需要妥善保管，若不慎泄露，请及时吊销和替换私有证书。 须知： 若在证书链路径上，任何一个CA证书被永久删除了，则无法导出证书。 吊销私有证书 当私有证书因为某些因素，不再使用时，可将其吊销。及时吊销，可避免私有证书滥用。 证书滥用，将会引发安全问题，请给予重视。 须知： 若父CA未启用证书吊销列表，则无法查询到私有证书是否已被吊销，意味着校验私有证书时，私有证书仍可通过吊销验证。 删除私有证书 用户可根据自身需要对私有证书执行删除操作。 任何状态下的私有证书，皆可删除。 须知： 此操作将会在数据库中，立即删除私有证书所有信息，属于不可逆操作，请谨慎执行。 父主题： 私有证书管理最佳实践

证书吊销列表管理 PCA服务中，对证书吊销列表（Certificate Revocation List， CRL）的管理有以下约束： 仅当创建私有CA时，启用了证书吊销列表配置，吊销证书后才会发布吊销列表。 当父CA未启用CRL时，被吊销的证书不会被写进吊销列表中，意味着校验证书时，证书仍可通过吊销验证，即存在安全隐患。有吊销证书需求的用户，请务必启用CRL配置。 当前只允许将CRL发布至用户授权的OBS桶中，不允许自定义其它地址。 启用CRL配置后，发布的CRL文件的访问策略与用户的OBS策略有关，用户可至 对象存储服务 （Object Storage Service，OBS），对已授权的OBS桶设置自定义访问策略。 证书一旦被吊销，将不可再恢复。 处于吊销状态的证书，将不被信任（被发布至CRL中）。 当证书被吊销后，PCA服务会在30分钟内将其写进CRL（当其父CA启用CRL时），并更新进OBS桶中。若发布CRL失败，会间隔15分钟后，再次尝试生成。 当发布新CRL的定时任务开启时，若私有CA已被删除或已过期、OBS桶被删除或授权被取消，定时任务将执行失败。 在CRL的有效期内，若私有CA未吊销过子证书，则只有过了有效期后（可能会延迟30分钟左右），才会生成新的CRL，有效期支持7~30天。 适合的吊销原因，可使证书吊销列表传达的吊销信息更准确。 PCA服务中默认的吊销原因为“UNSPECIFIED”，吊销原因可选值及其含义如表 吊销理由及含义所示。 表1 吊销原因及含义 吊销理由 对应RFC 5280标准中的吊销理由码 含义 UNSPECIFIED 0 吊销时未指定吊销原因，为默认值 KEY_COMPROMISE 1 证书密钥材料泄露 CERTIFICATE_AUTHORITY_COMPROMISE 2 签发路径上，存在CA密钥材料泄露 AFFILIATION_CHANGED 3 证书中的主体或其他信息已经被改变 SUPERSEDED 4 证书已被取代 CESSATION_OF_OPERATION 5 证书或签发路径中的实体已停止运营 CERTIFICATE_HOLD 6 证书当前不应被视为有效，将来可能会生效 PRIVILEGE_WITHDRAWN 9 证书不再有权声明其列出的属性 ATTRIBUTE_AUTHORITY_COMPROMISE 10 担保证书属性的机构可能已受到损害 PCA服务中关于吊销理由的命名与国际标准存在差异，您可以通过吊销理由码查询RFC 5280标准中对吊销理由的相关描述。 父主题： 私有CA管理最佳实践

删除CA 对私有CA执行删除操作。鉴于私有CA的重要性，为避免误操作，PCA服务对不同状态下的私有CA，被执行删除操作后，处理的策略不同。 “已禁用”和“已过期”状态：仅提供计划删除，可选的延迟删除周期为7~30天，在删除时间到之前，CA处于“计划删除”状态。处于“计划删除”状态的CA，可通过“取消删除”操作，将CA恢复到“已禁用”或“已过期”状态（删除前的状态）。一旦到了删除时间，CA将被定时任务进行删除，且不可恢复。 “待激活”和“已吊销”状态：仅提供立即删除，即一旦执行删除操作，该状态下的CA将被立即删除，且不可恢复。 “已激活”状态：不支持删除操作，若需要删除，需要先将其禁用，然后再执行删除操作。 私有CA被永久删除后，其下所有证书将无法执行“吊销”操作，其与其子CA下所有私有证书将无法执行“导出”操作，且无法再更新证书吊销列表，请谨慎操作！ 执行删除操作前，请排查和确认私有CA是否仍在使用，删除后是否会导致自建的PKI体系不可用。 执行删除操作前，若私有CA确认已不再使用，应将其下所有未过期证书都进行吊销，并在所有终端中将其从信任列表中移除（若是从属CA，则应该将其吊销，然后再删除）。

创建CA 私有CA分为根CA与从属CA，您可以指定将要创建的私有CA类型。其中，根CA是自签名证书，可直接创建。从属CA属于子CA，创建前需要先创建其父CA。因此，创建私有CA时，有以下三种情况： 创建根CA，创建成功后，证书为“已激活”状态。根CA的密钥用途固定为数字签名、签发证书、签发CRL，即可用于签发证书、吊销证书以及签发证书吊销列表，无法进行自定义。 创建从属CA，并直接激活，创建成功后，从属CA为“已激活”状态。其密钥用途默认与根CA一致，若有特殊要求，您也可以自定义从属CA密钥用途。 创建从属CA，但不立即激活，创建成功后，从属CA为“待激活”状态。该状态下从属CA无任何功能，只有激活后方可正常使用，该状态支持立即删除。 私有CA的通用名称允许重复，推荐您为不同的CA取带有标识性的名称，以便区别，如ROOT CA G0、ROOT CA G1。

吊销CA 吊销不再使用或者密钥材料已暴露的从属CA。吊销后的从属CA，将完全失去所有功能，且无法再恢复。若其父CA启用了证书吊销列表配置，则可在证书吊销列表中查询其吊销信息。 吊销CA属于高危行为，请谨慎操作！ 校验过程中需要查询证书吊销列表，方可验证正在校验的证书是否被吊销，否则，将可能与被吊销的证书进行通信，存在安全风险。 私有CA被吊销后，其与其子CA签发的所有证书都将不再被信任（被发布至证书吊销列表中时），即包含私有CA的所有证书链的校验都将会失败。

私有CA状态 私有CA状态是PCA服务为了方便对私有CA进行生命周期管理，对私有CA在不同时期的状态作的描述，各个私有CA状态之间的关系如图 私有CA状态关系所示。不同私有CA状态下，私有CA也具备不同的功能属性，如表 私有CA状态的功能属性所示。 图1 私有CA状态关系 表1 私有CA状态的功能属性 私有CA状态 签发证书 吊销证书 导出证书 导入证书 导出CSR 占用CA配额 是否收费 待激活 否 否 否 是 是 是 否 已激活 是 是 是 否 否 是 是 已禁用 否 是 是 否 否 是 是 计划删除 否 否 否 否 否 是 否 已过期 否 否 是 否 否 是 是 已吊销 否 否 否 否 否 是 否 只有从属CA会处于“待激活”与“已吊销”状态。“待激活”状态下不收费，根CA是自签名证书，不存在“已吊销”状态的情况。 如果您对私有CA进行取消删除时，将会补收私有CA处于“计划删除”期间的费用。 处于“已过期”状态的私有CA，仍然占用CA配额，未删除前将会持续收费，若您不再使用，请尽快删除，避免被收费。 父主题： 私有CA管理最佳实践

私有CA层次结构设计 PCA服务中支持创建最多七级的CA层级结构，根CA最多可以有六级从属CA（即子CA或中间CA），但可以有任意数量的分支。一个好的CA层次结构设计，具有以下优势： 让整个PKI（公钥基础设施）体系的管理更加合理、安全。 可实现对证书的精细化控制。 可使PKI体系与自身的业务结构更加贴合，方便后续的迁移与扩展。 PCA服务中您可创建的每种结构的详细说明如表 CA层次结构说明所示，您可以根据实际情况设计对应的CA层次结构。 表1 CA层次结构说明 CA层次结构 描述 说明 单层CA结构 通过根CA直接签发私有证书。 此种结构是不符合安全规范的，往往被用于非生产环境（不需要完整信任链的开发和测试）。 根CA将被频繁使用，密钥材料的泄露风险极高，一旦出现根CA密钥材料泄露的情况，其下所有证书都需要废弃，且所有终端都必须快速从信任的根证书列表中撤掉泄露的根CA，耗时耗力，且严重阻断业务。单层CA结构如图 单层CA结构所示。 两层CA机构 根CA用于签发二级从属CA，二级CA(路径深度设置为0)负责签发私有证书。 此种结构为比较常用的CA层次结构。 CA层次浅，证书链在传输和校验过程中可节省开销，且在根CA与私有证书之间做了隔绝，使用从属CA来签发证书，若单个从属CA泄露，只需将其吊销和替换其下所有的证书即可，不影响其他从属CA的使用，终端也无需撤掉根CA，缩小了泄露事件的影响范围。两层CA结构如图 两层CA结构所示。 三层CA结构 根CA用于签发二级从属CA，二级CA(路径深度设置为1)再向下签发三级从属CA，三级CA（路径长度设置为0）负责签发私有证书。 此种结构也是比较常用的CA层次结构，适合层次结构相对复杂的组织。 三层结构使得证书的分发管理得到精细化控制，PKI体系层次分明，且层次的适当扩展可有效地扩大根CA与私有证书的距离，能更好的保护根CA密钥材料的机密性。三层CA结构如图 三层CA结构所示。 四层到七层的CA结构 根CA用于签发二级从属CA，二级CA（路径深度可设置范围为：5≥路径深度≥2）再向下签发三级从属CA，三级CA（路径深度可设置范围为：4≥路径深度≥1）再向下签发四级从属CA（路径深度可设置范围为：3≥路径深度≥0），以此类推，最后一级负责签发私有证书。 此类结构使用较少。 虽然深层次的结构能使得CA层次更加的细化，但由于层次的加深，导致服务端在与客户端交互时，需要传输较大的证书链，增加了网络传输开销和证书的校验时长。四层到的CA结构如图 四层到七层的CA结构所示。 从属CA的路径深度，即当前CA可以签发下级CA的层次数量，用于控制证书链深度。 图1 单层CA结构 图2 两层CA结构 图3 三层CA结构 图4 四层到七层的CA结构 父主题： 私有CA管理最佳实践

腾讯DNS解析 如果您需要绑定华为云SSL证书的域名是在腾讯云申请的，您需要先在腾讯云DNS解析控制台中添加解析记录，完成DNS验证。 登录腾讯云DNS解析控制台。 在“域名解析列表”中，选择需要添加解析记录的域名，单击操作栏的“解析”，进入该域名的“记录管理”页面。 单击“添加记录”，填写以下记录信息。 主机记录：获取证书的主机记录和记录值中获取的“主机记录”。 记录类型：获取证书的主机记录和记录值中获取的“记录类型”。 线路类型：选择“默认”类型，否则会导致部分用户无法解析。 记录值：输入该域名在华为云SSL证书服务控制台获取的DNS记录值，具体的操作步骤如获取证书的主机记录和记录值。 MX优先级：不需要填写。 TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为600秒。 单击“保存”，完成添加。

阿里DNS解析 如果您需要绑定华为云SSL证书的域名是在阿里云申请的，您需要先在阿里云DNS解析控制台中添加解析记录，完成DNS验证。 登录阿里云DNS解析控制台。 在域名解析页面，选择“全部域名”页签，单击需要添加解析记录的域名名称，进入解析设置页面。 单击“添加记录”，填写以下记录信息。 记录类型：获取证书的主机记录和记录值中获取的“记录类型”。 主机记录：获取证书的主机记录和记录值中获取的“主机记录”。 解析线路：选择“默认”类型，否则会导致部分用户无法解析。 记录值：输入该域名在华为云SSL证书服务控制台获取的DNS记录值，具体的操作步骤如获取证书的主机记录和记录值。 TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为600秒。 单击“确定”，完成添加。

背景信息 SSL证书提交申请后，您需要进行域名授权验证。按照CA中心的规范，如果您申请了数字证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，证书审核才可以进入下一个状态。 如果不完成域名验证，您的证书将无法通过审核，且您的证书申请将会一直显示“待完成域名验证”的状态。 DNS验证，是指在域名管理平台通过解析指定的DNS记录，来验证域名所有权的一种方式。当您申请证书时，“域名验证方式”选择的是“DNS验证”，则可参照本文档完成域名所有权的验证。