华为云用户手册

上传SSL证书时可能有哪些报错，如何解决？ 您可以将您所拥有的SSL证书（已在其他平台购买并签发的SSL证书）上传到 云证书管理 平台，以便在云证书管理平台对您的证书进行统一管理。关于上传证书具体的操作步骤，请参考上传已有SSL证书。 本章节为您介绍上传证书过程中可能出现的报错提示及如何解决报错。 表1 证书上传报错 报错类型 错误码 报错信息详情 解决措施 解析证书链报错 SCM.0053 证书格式错误，应该以特定的字符串开头或结尾 证书格式错误，要以-----BEGIN CERTIFICATE-----开头和以-----END CERTIFICATE-----结尾。 SCM.0054 证书内容缺失 证书前后缀之间内容有缺失，需要补充前后缀之间的内容。 检查证书链报错 SCM.0079 CaCert的主题与证书的签发者不匹配 确保证书链中的证书签发关系正确，证书链的顺序为用户证书到底层CA。 例如：证书链现有两个证书：签发证书A、被签发证书B，需要确保证书A的subjectDN和证书B的issuerDN一致。 SCM.0109 证书链长度必须大于1 请上传长度大于1的证书链。 国际标准SSL证书上传报错 SCM.0012 上传私钥解析不正确，请确保填写已签发证书 请检查您的私钥内容，需上传正确的私钥。 SCM.0114 私钥格式错误，应该以特定字符串开头或结尾 检查私钥格式，需要以*开头和以*结尾。 SCM.0115 私钥不是Base64编码 检查私钥格式，需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 国密证书上传报错 SCM.0059 国密私钥为空 请输入正确的国密私钥。 SCM.0115 私钥不是Base64编码 检查私钥格式，需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 SCM.0114 私钥格式错误，应该以特定字符串开头或结尾 检查私钥格式，需要以*开头和以*结尾。 SCM.0012 国密私钥解析失败 请输入正确的私钥内容。 SCM.0118 国密证书长度必须为1 国密证书-加密证书链长度必须为1。 SCM.0055 证书内容不是Base64编码 请检查证书内容，需要为Base64编码。 SCM.0058 生成X509证书失败 请输入正确的证书内容。 SCM.0119 写入加密证书或私钥内容失败 请输入正确的加密证书或私钥内容。 SCM.0117 写入私钥或证书内容失败 请输入正确的证书或私钥内容。 父主题： SSL证书应用类

一键部署SSL证书至云产品和手动部署SSL证书至云产品的区别是什么？ 在华为云购买申请的SSL证书支持一键部署到WAF、ELB和CDN产品，部署成功后，可以帮助您提升云产品访问数据的安全性，具体操作请参见部署证书。 本章节将介绍一键部署SSL证书至云产品和手动导入证书至云产品的区别。 表1 一键部署和手动部署的区别 区别项 一键部署 手动部署 操作难度 操作便捷 可在 云证书管理服务 SSL证书管理控制台一键部署。 操作步骤较复杂 需要去对应云产品控制台手动上传，不排除手动操作期间会出现证书链不完整等需要人为处理的问题。 安全性 安全性高 一键部署过程中私钥不会经过人为手动操作，避免了私钥泄露的风险。 安全性一般 私钥会经过人为手动操作。 是否收费 是 第三方上传证书和2023年11月15日之后创建并签发的测试证书部署到 华为云产品 需要收费，价格为30元/次，详情请参见证书部署服务是如何收费的？。 否 手动部署证书至云产品不收费。 父主题： SSL证书应用类

DV证书DNS验证失败该如何处理？ DV证书通过云证书管理控制台“验证”功能校验DNS解析结果时，验证失败，请参照下表提示进行排查处理后重新验证： 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您 域名 服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。 父主题： 验证域名所有权

购买或续费选择的多年期证书，为什么新证书的有效期只有1年？ 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长只有1年。 华为云云证书管理服务提供的多年有效期的SSL证书是一次购买多年SSL证书的解决方案，多年有效期SSL证书实际为多张有效期为1年的SSL证书依次生效，例如您购买或续费的有效期为“2年”的证书，实际包含2张有效期为1年且规格相同的证书，在第一张证书1年有效期到期前30天，系统会自动以您第一张证书的信息为您申请第二张证书。 为了避免多年期证书自动申请失败，请勿取消隐私授权。 父主题： 证书有效期

私有证书签发后，能否停用私有CA？ 您可以根据实际情况选择以下方法停用私有CA的部分功能或者停用私有CA： 如果您不再需要使用某个私有CA来签发证书，但需要保留其吊销证书和签发证书吊销列表的功能，您可以禁用该私有CA。禁用私有CA后，其下所有证书使用不受影响。禁用私有CA详细操作请参见禁用私有CA。 私有CA禁用期间也将持续计费。 如果您不再需要使用某个私有CA，您可以删除该私有CA。删除私有CA后，将不再计费，其下已经导出的证书（未被吊销）仍可使用，但该私有CA下的所有证书都将无法执行“吊销”操作，无法再更新证书吊销列表，并且该私有CA和其子CA下所有私有证书将无法执行“导出”操作。删除私有CA详细操作请参见计划删除私有CA。 父主题： 私有证书使用类

SSL证书部署失败怎么办？ 证书管理支持将上传的证书和通过SCM签发的证书一键部署到弹性负载均衡（Elastic Load Balance，ELB）、 Web应用防火墙 （Web Application Firewall，WAF）、CDN（Content Delivery Network，内容分发网络）等其它华为云产品中。但是以下情况会导致部署失败： 申请证书时，如果“证书请求文件”选择的是“自己生成 CS R”，那么签发的证书不支持部署到云产品。 解决方法： 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 没有购买对应的云产品，或数字证书所绑定的域名没有在对应的云产品中开通服务，部署将可能导致部署失败。 解决方法： 没有购买对应的云产品或在对应的云产品中开通服务 如果您已将证书部署或者上传到对应的云产品中，即目标证书在对应的云产品中已存在，再次通过SCM平台部署时，将会部署失败。 解决方法： 查看是否已部署，如果SSL已部署则无需再次部署。 父主题： SSL证书应用类

如何去除私钥密码保护 如果您的密钥已经加载密码保护，可以通过OpenSSL工具运行以下命令去掉密码保护： openssl rsa -in encryedprivate.key -out unencryed.key 其中，“encryedprivate.key”是带密码保护的私钥文件；“unencryed.key”是去掉了密码保护的私钥文件，扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥，当需要将该证书部署给CDN时，需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的，即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式，则需要使用工具转换证书的格式。具体转换方式，请参考主流数字证书有哪些格式？。

什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件，如果私钥文件是如下样式，则说明您的私钥是已加载密码保护的： PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY----- ......BASE64 私钥内容...... -----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容...... -----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的，您可以转换成无密码的密钥文件。关于具体转换方式，请参考主流数字证书有哪些格式？。

哪些网站必须启用HTTPS加密？ 在越来越重视信息安全的今天，HTTPS协议站点无疑已经成为主流。就目前形势而言，以下网站必须启用HTTPS协议加密： 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看，HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型，启用HTTPS协议加密既是网站安全的必然需要，也是公司发展的提前布局。 父主题： 证书咨询

域名的相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如：“*.a.com”是正确的泛域名，但“*.*.a.com”则是不正确的。 一个泛域名算一个域名。关于泛域名的匹配关系，请参考泛域名证书支持哪些域名？。 普通域名 普通域名是相对泛域名来说的，是一个具体的域名或者说不是通配符域名。 例如：“www.a.com”或“a.com”都算一个普通域名。 普通域名能绑定的数量，取决于您证书订单中选择的域名个数。 如“buy.example.com”或“next.buy.example.com”各个明细子域名都算一个域名。 域名级别 域名由一或多个部分组成，这些部分通常连接在一起，并由点分隔，例如www.huaweicloud.com。最右边的一个标签是顶级域名，一个域名的层次结构，从右侧到左侧隔一个点依次下降一层。 域名的第一级是顶级域名，顶级域名下一层是二级域名，一级一级地往下。域名层次结构具体划分情况如表1所示。 表1 域名层级结构 参数名称 参数说明 顶级域名 域名中最高的一级，每个域名都以顶级域结尾。它包括通用顶级域（例如.com、.net、.org等）、国际和地区顶级域（例如.us、.cn、.tk等）和新通用顶级域名（例如.info、.biz等）。 二级域名 顶级域名下面是二级域名，它位于顶级域名的左侧。例如，在example.com中，example是二级域名。 三级域名 二级域名下面是三级域名，它位于二级域的左侧。例如，在www.example.com中，www是三级域名。 以此类推，在上一级域名最左侧进行域名级别的拓展。 以abc.huaweicloud.com为例，进行域名层次结构说明： .com为顶级域名。 huaweicloud.com为1个二级域名。 abc.huaweicloud.com为1个三级域名。 父主题： 域名填写类

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图4所示，说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图7 生效时间

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

一个SSL证书能够绑定几个域名 用户在购买证书时，需要根据实际情况选择域名类型。域名类型不同，支持绑定的域名数量也差异。具体的情况如表1所示。 表1 不同的域名类型可绑定的域名数量 证书类型 支持的域名类型 可绑定的域名数量 OV、OV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 EV、EV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 DV 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（GeoTrust入门级SSL证书） 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（DigiCert 免费SSL证书 ） 单域名 1个。

申请SSL证书时应该使用哪个域名？ 关于申请 SSL数字证书 时应该如何选择申请域名，本文将通过一个简单的示例进行描述。 例如，您的网站为“www.domain.com”。其中，有一个用户登录页面“http://www.domain.com/login.asp”，您想要申请一张SSL数字证书确保用户输入用户名和密码时的安全，确保用户信息不会在传输过程中被非法窃取。同时，还有一个用户登录的信息管理页面“http://www.domain.com/oa/manage.asp”，您也希望使用SSL数字证书来保障内部管理系统中的机密信息的安全。这种情况下，您使用域名“www.domain.com”申请SSL数字证书即可实现对这类页面的保护。 如果您的网站访问量较大，建议您为需要使用SSL数字证书的页面设置一个独立的Web服务器（HTTP server），并使用一个独立的域名来申请SSL数字证书，例如：secure.domain.com或ssl.domain.com。 “https://”的使用必须与申请SSL数字证书的域名一致，否则浏览器可能会出现“安全证书上的名称无效,或者与站点名称不匹配”警告。请根据您网站的具体情况使用合适的域名来申请SSL数字证书。 父主题： 域名填写类

泛域名证书支持哪些域名？ 华为云SSL证书管理服务支持申请泛域名类型的证书，用户可以通过泛域名证书保护服务器的单个域名和该域名下同级别的所有子域名。OV企业型、OV Pro企业型专业版和DV域名型、DV基础版（GeoTrust入门级SSL证书）类型证书支持泛域名。 如果您拥有多个同级别子域名服务器，使用泛域名证书即可，无需为每个子域名单独购买和安装证书。 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 您的数字证书一旦颁发后，将无法修改域名信息等。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，域名级别说明请参见域名的相关概念。 匹配示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.example.com abc.example.com、sport.example.com、good.example.com等域名 mycard.good.example.com、mycalc.good.example.com等域名 *.good.example.com mycard.good.example.com、mycalc.good.example.com等域名 abc.example.com、sport.example.com、good.example.com等域名 父主题： 域名填写类

约束条件 更新SSL证书到ELB时，有以下几点限制条件，请您提前确认： 您已在ELB中配置过证书，即您需要先在ELB服务中完成首次证书的配置，才能通过SCM服务更新证书。ELB中创建证书详细操作请参见创建证书。 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书，需要指定域名，才可在SCM中完成更新证书的操作。 ELB中使用的证书如果指定了 多个域名 ，更新证书前需要注意SCM证书的域名与其是否完全匹配。如果不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署，您可以先将证书下载到本地，然后再到WAF控制台上传证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。 证书为国际标准SSL证书。

提交 SSL证书申请 后，发现证书信息错误或变更怎么办 判断错误的信息是否会影响证书的审核或使用。 是，执行2。 否，请根据实际情况进行处理。 未签发：请继续执行后续操作，等待证书的审核。 已签发：无需处理，可正常使用证书。 查看证书是否签发。 证书未签发 提交证书申请后，发现证书信息填写错误或变更，可撤回申请。 具体的操作请参见撤回证书申请。 证书已签发 证书已签发且在规定时间内（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，“单域名”和“泛域名”证书可通过重新签发功能来进行修改，具体操作请参见重新签发，“多域名”证书、免费证书不支持重新签发，您需要重新购买证书，具体操作请参见购买证书。 证书已签发且已超过规定时间（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，则需要重新购买证书。

OV、OVPro型或EV、EV Pro型证书 如果您购买的是OV、OVPro或EV、EV Pro类型证书，成功购买证书后，您需要按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“申请证书”、“域名验证”、“组织验证”。 以上操作完成后，您只需要耐心等待，CA机构（证书的签发方）可能还需要一段时间审核。CA机构审核通过后，您的数字证书将会签发。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。

SSL证书安装与应用 将SSL证书应用到华为云产品中 非华为云SSL证书如何配置到华为云服务中？ 如何将证书应用到华为云产品？ 部署证书到云产品 将SSL证书部署到服务器上使用 下载证书 如何在服务器上安装SSL证书？ SSL证书支持在哪些服务器上部署？ SSL证书支持在哪些地域部署？ 宝塔搭建的网站如何在后台添加SSL证书？ SSL证书的安装和配置提供咨询服务吗？ 部署了SSL证书后问题排查 部署了SSL证书后，为什么网站仍然提示不安全？ 部署了SSL证书后，为什么通过域名无法访问网站？ 为什么安装了SSL证书后，https访问速度变慢了？ 为什么配置了SSL证书仍存在用户访问时提示不受信任？ 证书部署后，浏览器是否会弹出不安全提示？ 如何解决证书链不完整？

系统生成的CSR和自己生成CSR的区别？ 证书请求文件（Certificate Signing Request，CSR）即证书签名申请，获取SSL证书，需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称（Distinguished Name），通常从Web服务器生成CSR，同时创建加解密的公钥私钥对。 申请证书时，需要设置“证书请求文件”，您可以选择“系统生成的CSR”，也可手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。两者之间的区别如表1所示。 表1 CSR的比较 证书请求文件 说明 区别 系统生成的CSR 系统将自动帮您生成证书私钥，并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。 选择“系统生成CSR”，在数字证书颁发后还可以支持不同格式的证书下载。 “系统生成CSR”，下载证书后，证书文件“server.jks”和密码文件“keystorePass.txt”已自动生成好，可以直接安装使用。 自己生成CSR 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。 详细操作请参见如何制作CSR文件？。 “自己生成CSR”的证书不支持一键部署到云产品。 手动生成CSR文件的同时会生成私钥文件，请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应，一旦丢失了私钥，您的数字证书也将不可使用。华为云不负责保管您的私钥，如果您的私钥丢失，您需要重新购买并替换您的数字证书。 “自己生成CSR”，下载证书后，需要使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到“server.pfx”文件，再使用Keytool工具，将PFX格式证书文件转换成JKS格式，得到“server.jks”证书文件和“keystorePass.txt”密码文件，然后才可以安装部署。 根据以上的比较，建议您选择“系统生成CSR”，可以规避CSR内容不正确而导致证书审核失败。 父主题： 域名填写类

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站 数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

概念 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理服务，实现网站的可信认证与安全数据传输。 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。您可以通过简单的可视化操作，建立自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。

约束条件 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

步骤三：DNS验证 DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权，即您需要到该域名的管理平台为该域名添加一条DNS记录。例如：如果您购买的是A公司的域名，您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则无需进行任何操作，系统将自动添加DNS记录验证。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后，需要按照证书列表页面的提示完成DNS验证，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。 DNS验证通过后，您需要耐心等待CA机构审核。

步骤四：签发证书 DNS验证通过之后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。 证书签发后便立即生效，即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为： 提交申请后0-1h：15分钟轮询一次，如果配置没有问题，一般情况，10-20分钟签发证书。 提交申请后1-4h：30分钟轮询一次。 提交申请后4h-24h：1小时轮询一次。 提交申请后1-7天：4小时轮询一次。 提交申请后7天以上认定为订单超时，自动取消。此时，请参照为什么“证书状态”长时间停留在审核中？排查并解决问题。

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查类

系统生成CSR 宝塔面板一般包含Apache环境和Nginx环境。 Nginx环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图1所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.crt”的内容复制粘贴到“证书(PEM格式)”的配置框中。 Apache环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示。 图2 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 “证书ID_证书绑定的域名_server.crt”文件和“证书ID_证书绑定的域名_ca.crt”文件合并后录入到“证书(PEM格式)”的配置框中。 “server.crt”文件和“ca.crt”文件合并时，一定是“server.crt”内容在前，“ca.crt”内容在后，顺序不正确会导致Apache无法正常启动。 如果您的证书不是通过SCM签发的，下载的crt文件对应的名称是“_public.crt”和“_chain.crt”，与SCM签发的证书文件的对应关系是： “_public.crt”文件对应“server.crt”文件。 “_chain.crt”文件对应“ca.crt”文件。 合并时，“_public.crt”文件内容在前，“_chain.crt”文件内容在后。

自己生成CSR 此时，不区分Apache环境和Nginx环境，均按以下步骤进行操作。 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 打开宝塔网站的“SSL”界面。 将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。

背景 SSL证书存在有效期限制，到期后将无法继续使用，所以如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 为了防止您的证书到期后给您的业务造成风险，我们提供了以下到期提醒的方式： 控制台提醒方式，即上传的证书和已签发的证书到期前30天，SSL证书管理控制台会提示您有即将到期的证书。如图1所示。 图1 证书列表 消息提醒方式。在SSL证书管理服务中签发的证书和上传的证书支持证书到期前消息提醒功能，即在证书即将到期前两个月、一个月、一周、三天、一天及证书过期当天，系统将默认向证书申请人或配置的消息接收人发送证书到期提醒信息。如果您想增加或者修改 消息通知 接收人，可以参考配置消息接收人进行配置。