华为云用户手册

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

购买和使用单 域名 扩容包的约束与限制 Digicert DV(basic) 单域名扩容包属于增值服务类产品，需支付一定的费用，该费用是针对已领取过华为云提供的20张免费证书额度的用户，收取的扩容服务费用。 发票将按照购买Digicert DV(basic) 单域名扩容包时的实付金额开具等额发票，之后使用Digicert DV(basic) 单域名扩容包额度申请的免费证书不再开具发票。 Digicert DV(basic) 单域名扩容包一经购买，则不支持退款、退货、换货。

如何进行域名验证？ 按照CA中心的规范，如果您申请了 SSL数字证书 ，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。 当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，才会签发证书。 华为云SSL证书管理提供的域名验证方式具体说明如表1所示，请根据您申请证书时选择的验证方式进行操作。 表1 域名验证 参数名称 参数说明 自动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 自动DNS验证则系统自动添加DNS记录验证，无需您进行任何操作。以下条件必须全部满足系统才会进行自动DNS验证： 购买的是DV（域名型）证书 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务 手动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 手动DNS验证则您需要前往域名的DNS解析服务商进行操作。具体操作请参见如何进行手动DNS验证？。 邮箱验证 指通过回复邮件的方式来验证域名所有权。具体操作请参见如何进行邮箱验证？。 文件验证 指通过在服务器上创建指定文件的方式来验证域名所有权。具体操作请参见如何进行文件验证？。 说明： 仅纯IP（公网IP）的证书通过“文件验证”方式进行验证。 DV（域名型）证书默认通过“DNS验证”方式进行验证。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则系统将进行自动DNS验证，您无需进行任何操作。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要进行手动DNS验证。 父主题： 验证域名所有权

已签发的SSL证书可以多次下载并使用吗？ 证书在有效期内，可多次下载并使用，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。 重新下载并安装部署后，对已部署的服务器没有影响，且在浏览器上通过域名进行访问时，对浏览器也没有影响。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即购买的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。 父主题： SSL证书下载类

操作步骤 登录您申请域名的域名管理员邮箱。 打开来自CA机构的域名确认邮件。 CA机构发送域名确认邮件需要大约一个工作日。如您短时间内未收到域名确认邮件，请耐心等待。如一个工作日后仍未收到邮件，请检查域名管理员邮箱正确性。 预留域名管理员邮箱地址配置错误：需要您撤回当前 SSL证书申请 ，并重新配置邮箱地址信息，具体操作请参见撤回SSL证书申请，是否撤回成功以华为云SSL证书列表呈现最终状态为准。 预留域名管理员邮箱地址配置无误：一个工作日后仍未收到邮件，请您提工单联系我们，并在工单中进行描述。 单击邮件中的认证按钮，完成域名验证。 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。 如您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/whois.txt或http://example.com/.well-known/pki-validation/whois.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

证书格式转换为PEM格式 表1 证书转换命令 格式类型 转换方式（通过OpenSSL工具进行转换） CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令，以“cert.pfx”转换位“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem

证书编码格式为PK CS 8时 由于华为云WAF、ELB、CDN服务暂时不支持PKCS8编码格式，因此，当您将PKCS8编码格式的证书上传到SSL证书管理平台，再部署至WAF、ELB、CDN三个服务时，会报错。 如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头，则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头，则说明该证书是PKCS1编码格式。 当您的公钥或者私钥的编码格式是PKCS8格式时，需要执行如下操作，才能将PKCS8编码格式的证书成功地运用到WAF、ELB、CDN服务。 证书格式是否为PEM格式。 是，执行2。 否，参照证书格式转换为PEM格式将证书格式转换为PEM后，再执行2。 执行如下命令将PKCS8编码格式转换为PKCS1编码格式。 PKCS8格式私钥转换为PKCS1格式 openssl rsa -in pkcs8.pem -out pkcs1.pem PKCS8公钥转PKCS1公钥 openssl rsa -pubin -in public.pem -RSAPublicKey_out 将转换后的证书上传至SSL证书管理平台，详细的操作请参见上传证书。 再将证书部署到对应的华为云服务，详细的操作请参见部署证书到云产品。

非华为云SSL证书如何配置到华为云服务中？ 非华为云证书是指在非华为云处申请的、并由CA机构签发的SSL证书，例如，在其他云服务提供商或线下证书供应商处申请的、并由CA机构签发的SSL证书。 SSL证书是由CA机构签发的，不论什么平台申请的都是一样的。 任何平台申请的或者任何品牌的SSL证书，只要是CA机构签发的均可在华为云中进行使用。但是，无法一键部署到WAF、ELB、CDN等云产品。因此，建议您使用在华为云平台申请的SSL证书，以便一键部署证书到对应云服务。部署后，可以帮助您提升云产品访问数据的安全性。 如需将非华为云SSL证书配置到华为云服务中，请根据需要选择具体操作： 表1 场景说明 场景 操作方法 将证书放在华为云的SSL证书管理中统一管理 上传到SSL证书管理中，详细操作请参见上传证书。 将证书配置到WAF、ELB、CDN中 SSL证书管理支持将证书一键部署到WAF、ELB、CDN，详细操作请参见部署证书。 将证书配置到其他 华为云产品 中 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 此处以将SSL证书运用到云速建站中为例进行说明。 通过SSL证书管理下载已签发的证书。 下载证书具体操作请参见下载证书。 在云速建站中进行配置。 具体操作请参见添加SSL证书。 配置过程中如有问题，请参考相应服务文档进行处理或咨询对应服务。 另外，如果您需要将证书配置到服务器上，请根据服务器类型进行配置。具体操作请参见如何在服务器上安装SSL证书？。 父主题： SSL证书应用类

公钥、私钥、数字证书的关系是什么？ 根据非对称密码学的原理，每个证书持有人都有一对公钥和私钥，这两把密钥可以互为加解密。 公钥是公开的，不需要保密，而私钥是由证书持有人自己特有，并且必须妥善保管和注意保密。数字证书则是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件。 数字证书就是经过CA认证过的公钥，因此数字证书和公钥一样是公开的。 可以这样说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在自己本地生成或委托受信的第三方生成的，由证书持有者自己负责保管或委托受信的第三方保管。 华为云的SSL证书管理中，如果您申请证书时，“证书请求文件”选择的是“系统生成CSR”，则在您的证书签发成功后，私钥和证书文件将统一放在证书文件夹内，您可通过下载证书进行获取。 如果您申请证书时，“证书请求文件”选择的是“自己生成CSR”，则在您的证书签发成功后，下载的证书仅包含一个名为“server.pem”的文件（文件中已经包含两段证书代码，分别是服务器证书和CA中间证书）。私钥为用户自行保存的，华为云SSL证书管理不提供。 父主题： 证书咨询

为什么安装了SSL证书后，https访问速度变慢了？ 安装了SSL证书后，访问网站时，HTTPS比HTTP要多几次握手的时间，HTTPS协议握手阶段比较费时，同时还要进行RSA校验，因此使用了SSL证书后，相较于HTTP访问，访问速度变慢了。 另外，会增加服务器CPU的处理负担，因为要为每一个SSL链接实现加密和解密，但一般不会影响太大。 为了减轻服务器的负担，建议注意以下几点： 仅为需要加密的页面使用SSL，如“https://www.domain.com/login.asp”，不要把所有页面都使用“https://”，特别是访问量大的首页。 尽量不要在使用了SSL的页面上设计大块的图片文件或者其他大文件，尽量使用简洁的文字页面。 父主题： 问题排查类

在控制台访问SSL证书管理服务时，为什么服务显示没有权限访问或操作按钮显示为灰色？ 在控制台访问SSL证书管理服务时，出现服务显示没有权限访问或操作按钮显示为灰色的情况，请参照以下步骤进行处理： 在SSL证书管理服务中，无论是您的账号权限不足还是账号欠费，系统均会提示您没有执行此操作的权限。 如果您的权限不足，请联系您的管理员开通权限。开通后，再执行相应操作。 如果您的账号已欠费，请您进行充值。充值后，再执行相应操作。 父主题： 证书咨询

替换或修改SSL证书绑定的域名 证书未签发 如果证书未签发，需要替换或修改当前证书绑定的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要替换或修改当前证书绑定的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持替换或修改证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

解绑SSL证书绑定的域名 证书未签发 如果证书未签发，需要解绑当前证书绑定的域名并绑定新的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要解绑当前证书绑定的域名并绑定新的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持解绑证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

增加SSL证书绑定的域名 如果您购买的是单域名类型的SSL证书： 需要重新购买证书。 如果您购买的是多域名类型的SSL证书： 该证书有可追加附加域名的额度，则可为该证书增加附加域名。具体操作请参见新增附加域名。 该证书没有可追加附加域名的额度，需要重新购买证书。 如果您购买的是泛域名类型的SSL证书： 如果需要增加的域名与证书绑定的域名在同一级别，则无需增加该域名，直接使用即可。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定test.huaweicloud.com，则无需绑定，直接使用已有证书即可。 如果需要增加的域名与证书绑定的域名不在同一级别，则需要重新购买证书。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定abc.test.huaweicloud.com，则需要重新购买证书来绑定该域名。

测试（免费）证书使用须知 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

续费限制说明 手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的，已签发且即将到期的付费SSL证书进续费，上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。 开启自动续费后，系统会在原证书即将到期前30天内自动为您购买一张相同规格的新证书，并且以原证书的申请信息提交证书申请，由于证书申请需要校验申请者的域名所有权、身份，因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。 续费证书与原证书为独立的两张证书，因此续费证书签发后您需要安装到Web服务器或部署到华为云产品。 续费签发的新证书有效期为续费有效期（如1年）加上原证书剩余有效期。例如，您已签发的1年有效期证书将于2022年11月30日过期，如果您在2022年11月25日完成续费购买和签发，则续费签发证书的有效期将在2023年11月25日的基础上再加上5天，即2023年11月30日。 Digicert DV(basic) 泛域名证书的续费入口仅在到期前15个自然日内开放。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期，新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）不完全相同，则新签发证书的有效期为一年（可能与原证书过期前未使用的有效期存在重合），无法自动补齐原证书剩余的有效期。

证书链配置说明 上传证书到SSL证书管理中进行统一管理时，需要单独导入证书、证书链和私钥，并需要以PEM格式进行编码。 以下将以示例方式对证书文件格式进行说明。 如果您在编辑PEM文件时，将PEM文件中的任何字符编辑错误，或者在任何行的末尾添加一个或多个空格，则将导致证书、证书链或私钥无效，因此，请谨慎操作。 示例1：PEM编码的证书 图1 PEM编码的证书 示例2：PEM编码的证书链 一个证书链包含一个或多个证书。您可以使用文本编辑器将您的证书文件连接成一个链。证书必须按顺序连接，以便每个证书都直接证明前一个证书。 以下示例包含三个证书，您的证书链可能包含更多或更少。 图2 PEM编码的证书链 示例3：PEM编码的私钥（仅限私有证书） X.509版本3的证书使用公钥算法，因此，当您创建X.509证书或证书请求时，需要指定必须用于创建私钥-公钥对的算法和密钥位大小，并且需要将公钥放置在证书或请求中。 同时，您需要自行保留私钥密码。在导入证书时需要私钥，此时，私钥必须是未加密的，更多详细介绍请参见为什么要使用无密码保护的私钥？。 以下示例为PEM编码的RSA私钥： 以下示例为PEM编码的椭圆曲线私钥。根据您创建密钥的方式，可能不包括参数块。如果包含参数块，在导入过程中使用密钥之前将其删除。 父主题： SSL证书管理类

SSL证书是如何收费的？ SSL证书管理服务为您提供了一种证书品牌为DigiCert品牌、证书类型为DV（Basic）、域名类型为单域名的用于测试的免费证书。关于免费证书的相关信息请参考如何申请免费证书？。 除此之外，SSL证书管理服务会根据您选择的证书类型、证书品牌、域名类型、域名数量和购买时长进行收费。 详细的服务资费费率标准，请参见产品价格详情。 上传证书到SSL证书管理中进行集中管理，管理上传证书暂不收费。 父主题： 计费、续费与退订

操作步骤 证书申请中填写的域名是否已做实名认证。 如果域名已做实名认证，请执行2。 如果域名未做实名认证，请前往您的域名服务商处完成域名实名认证。 确认您已正确填写和提交证书申请订单。 如果填写确认无误，请执行3。 如果填写的信息有误，您可以取消申请。取消成功后，再提交证书申请。修改后，再执行3。 撤回申请详细操作请参见撤回证书申请。 提交证书申请详细操作请参见提交SSL证书申请。 确认您已按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“域名验证”、“组织验证”。 如果已完成，请执行4。 如果未完成，请按照提示进行操作。 域名验证详细操作请参见域名验证，域名验证完成后，请查看验证是否生效。 组织验证详细操作请参见组织验证。组织验证仅OV、OV Pro、EV、EV Pro类型证书需要。 查看域名验证是否生效。 具体验证方法请参见如何查看域名验证是否生效？。 如果已生效，请执行5。 如果未生效，请按照域名验证未生效如何处理？进行处理。 检查是否CAA（Certification Authority Authorization，证书颁发机构授权限制）限制了CA证书颁发。 是，您可以取消限制或者参考设置CAA记录防止错误颁发HTTPS证书添加一条CAA解析记录。 否，请执行6。 请您耐心等待。 申请证书后，CA机构将对您提交的信息进行审核。请您耐心等待。 审核期间，CA机构会通过电话联系您并指导您进行相关操作，请您务必保持手机畅通。如果CA机构无法及时联系到您，该订单的审核进度可能会延迟。 OV、EV类型证书审核时长 如果您购买的是OV或EV类型证书，请您需要耐心等待3~7个工作日。CA中心会在3~7个工作日内完成您的证书订单审核。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。如果CA中心无法及时联系到您，那么该订单的审核进度将可能会延迟。您的及时回复将能有效缩短SSL证书的验证时间。 DV类型或免费证书审核时长 域名授权验证完成后，CA中心将会在1~2个工作日内签发您的证书。 如果您的域名中包含某些敏感词（例如bank、pay、live等），可能会触发人工审核机制，审核时间会比较长，请您耐心等待。 免费证书申请后会在1~2个工作日内签发。根据CA中心审核流程耗时不同，您的证书有可能会在几个小时内就完成签发，也有可能需要2个工作日才能完成签发，请您耐心等待。

吊销证书和删除证书的区别是什么？ 华为云SSL证书管理服务支持对证书进行吊销，也支持对证书进行删除。 证书的吊销和删除操作都不影响您再次购买证书。 两者的不同主要表现在以下两方面： 含义： 证书吊销：指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 证书删除：指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 限制条件： 证书吊销： 当您的证书状态为“已签发”，且您不需要使用证书，在证书私钥已丢失，或出于安全因素考虑等情况下，可申请吊销证书。 进入续费期的证书无法吊销，即证书到期前一个月内不支持吊销。 证书删除： 当您的证书状态为“已到期”、“托管中”、“已签发”的状态，可以在SCM的操作控制台执行删除操作。 父主题： SSL证书管理类

私有证书的有效期是多久？ 私有证书的有效期是您根据申请证书时设置的有效期而定的。 私有证书由处于激活状态的CA进行签发，所以，私有证书有效期设置时须满足：私有证书有效期≤签发的私有CA有效期。 申请私有证书详细操作请参见申请私有证书。 图1 设置有效期 私有证书由处于激活状态的CA进行签发 证书申请成功后，可在私有证书列表页面查看证书到期时间，如图2所示。私有证书到期后，需重新申请。 图2 到期时间

SSL证书的安装和配置提供咨询服务吗？ 华为云 云证书管理服务 不提供SSL证书的安装和配置咨询服务。 华为云 云证书管理 服务提供了几种主流Web服务器安装国际标准SSL证书的示例，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 如果您在实际安装过程中遇到问题，由于您的实际业务环境需要人工排查，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师进行处理。 父主题： SSL证书安装类

操作步骤 打开浏览器，访问“https://whois.domaintools.com/”网站。 输入需要查询的域名，单击“Search”，进入域名注册信息详情页面。 在注册信息中，查看“Name Servers”，确认域名所属的DNS服务器。 当“Name Servers”显示如所图1示时，则表示域名所属的“DNS服务器”为华为云DNS。 图1 Name Servers 请根据域名所属的DNS服务器进行DNS验证，执行以下操作： 域名所属的“DNS服务器”为华为云DNS：请参见如何进行DNS验证？，在华为云的云解析服务上进行DNS验证。 域名所属的“DNS服务器”不是华为云DNS：请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是：请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 参见如何进行手动DNS验证？，在华为云的云解析服务上进行DNS验证。 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

Windows系统如何验证DNS解析生效？ 如果您使用的是Windows操作系统，可参考本章节验证DNS验证是否生效。 提交证书申请后，您可以参考域名验证页面的提示完成域名DNS验证。 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表1 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图1所示，说明域名授权验证配置已经生效。 图1 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图2 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表2 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图3 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图4 生效时间 父主题： 验证域名所有权

测试（免费）证书与收费证书的区别 所有SSL证书都具备SSL加密传输功能，都可通过https访问网站，在浏览器上显示安全锁标志。 本章节将介绍免费证书和收费证书的区别。 表1 测试证书和收费证书的区别 区别项 测试证书 收费证书 安全等级 一般 高 证书运行环境的兼容性 一般 高 CA中心对证书的安全保险赔付 不支持 支持 证书数量限制 每个账号（不区分主账号和子账号）仅限20张 不限制 支持保护的网站域名类型 仅支持保护一个单域名 支持保护单域名、多域名、泛域名 支持绑定IP地址 不支持 GlobalSign品牌的OV型证书支持 支持的证书类型 仅DV DV、OV、EV 人工客服支持 不支持 支持 OCSP（Online Certificate Status Protocol，在线证书状态协议） 无本地OCSP，可能会有网络延时或超时情况 除DV (Basic) ，其他付费证书均支持OCSP加速访问 测试证书一般仅用于个人网站或测试使用，不建议业务成熟的企业类型网站使用。 如果您是企业类型网站，建议您购买收费证书。对于政府、金融、电子商务、医疗等组织或机构，推荐使用OV型证书或安全等级最高的EV型证书，不仅让您的用户更信赖您的网站，同时对您的网站数据和身份认证安全提供更强的保障。关于收费证书选型的更多建议，请参见如何选择SSL证书？。 父主题： 测试证书相关

使用OpenSSL工具生成CSR文件 安装OpenSSL工具。 执行以下命令生成CSR文件。 openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr -new：指定生成一个新的CSR。 -nodes：指定私钥文件不被加密。 -sha256：指定摘要算法。 -newkey rsa:2048：指定私钥类型和长度。 -keyout：生成私钥文件，名称可自定义。 -out：生成CSR文件，名称可自定义。 生成CSR文件“mydomain.csr”。 图1 生成CSR文件 需要输入的信息说明如下： 字段 说明 示例 Country Name 申请单位所属国家，只能是两个字母的国家码。例如，中国只能是CN。 CN State or Province Name 申请单位所在省名或州名，可以是中文或英文。 ZheJiang Locality Name 申请单位所在城市名，可以是中文或英文。 HangZhou Organization Name 申请单位名称法定名称，可以是中文或英文。 HangZhou xxx Technologies, Inc. Organizational Unit Name 申请单位的所在部门，可以是中文或英文。 IT Dept. Common Name 申请证书的具体网站域名。 说明： 多域名类型的证书，请填写需要绑定的主域名。 泛域名类型的证书，请填写泛域名。示例：*.example.com www.example.com Email Address 申请单位的邮箱。 无需输入，请直接按“Enter”。 - A challenge password 设置CSR文件密码。 无需输入，请直接按“Enter”。 - 在使用OpenSSL工具生成中文证书时，需要注意中文编码格式必须使用UTF8编码格式。同时，需要在编译OpenSSL工具时指定支持UTF8编码格式。 证书服务系统对CSR文件的密钥长度有严格要求，密钥长度必须是2,048位，密钥类型必须为RSA。 完成命令提示的输入后，会在当前目录下生成myprivate.key（私钥文件）和mydomain.csr（CSR，证书请求文件）两个文件。

使用Keytool工具生成CSR文件 安装Keytool工具，Keytool工具一般包含在Java Development Kit（JDK）工具包中。 使用Keytool工具生成keystore证书文件。 Keystore证书文件中包含密钥，导出密钥方式请参考主流数字证书有哪些格式？。 执行以下命令生成keystore证书文件。 keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks -keyalg：指定密钥类型，必须是RSA。 -keysize：指定密钥长度为2,048。 -alias：指定证书别名，可自定义。 -keystore：指定证书文件保存路径，证书文件名称可自定义。 图2 生成keystore证书文件 输入证书保护密码，然后根据下表依次输入所需信息： 问题 说明 示例 What is your first and last name? 申请证书的域名。 说明： 多域名类型的证书，请填写需要绑定的主域名。 泛域名类型的证书，请填写泛域名。示例：*.example.com www.example.com What is the name of your organizational unit? 申请单位的所在部门名称。 IT Dept What is the name of your organization? 申请单位的所在公司名称。 HangZhou xxx Technologies,Ltd What is the name of your City or Locality? 申请单位的所在城市。 HangZhou What is the name of your State or Province? 申请单位的所在省份。 ZheJiang What is the two-letter country code for this unit? 申请单位所属国家，ISO国家代码（两位字符）。 CN 输入完成后，确认输入内容是否正确，输入Y表示正确。 根据提示输入密钥密码。可以与证书密码一致，如果一致直接按回车键即可。 通过证书文件生成证书请求。 执行以下命令生成CSR文件。 keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr -sigalg：指定摘要算法，使用SHA256withRSA。 -alias：指定别名，必须与•-alias中keystore文件中的证书别名一致。 -keystore：指定证书文件。 -file：指定证书请求文件（CSR），名称可自定义。 根据提示输入证书密码即可以生成“mydomain.csr”。

查看证书文件的格式 您可以使用以下方法简单区分带有后缀扩展名的证书文件： *.DER或*.CER文件：这样的证书文件是二进制格式，只含有证书信息，不包含私钥。 *.CRT文件：这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与*.DER及*.CER证书文件相同。 *.PEM文件：这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。*.PEM文件如果只包含私钥，一般用*.KEY文件代替。 *.PFX或*.P12文件：这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。 您也可以使用记事本直接打开证书文件。如果显示的是规则的数字和字母，则表示该证书文件是文本格式。 举例： —–BEGIN CERTIFICATE—– MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh...... —–END CERTIFICATE—– 如果存在“——BEGIN CERTIFICATE——”，则说明这是一个证书文件。 如果存在“—–BEGIN RSA PRIVATE KEY—–”，则说明这是一个私钥文件。

证书格式转换 证书格式之间是可以互相转换的，如图1所示。 图1 证书格式转换 您可使用以下方式实现证书格式之间的转换： 将JKS格式证书转换为PFX格式 您可以使用JDK中自带的Keytool工具，将JKS格式证书文件转换成PFX格式。 例如，您可以执行以下命令将“server.jks”证书文件转换成“server.pfx”证书文件： keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12 将PFX格式证书转换为JKS格式 您可以使用JDK中自带的Keytool工具，将PFX格式证书文件转换成JKS格式。 例如，您可以执行以下命令将“server.pfx”证书文件转换成“server.jks”证书文件： keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS 将PEM/KEY/CRT格式证书转换为PFX格式 您可以使用OpenSSL工具，将KEY格式密钥文件和CRT格式公钥文件转换成PFX格式证书文件。 例如，将您的KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）复制至OpenSSL工具安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pfx”证书文件： openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 将PFX格式证书转换为PEM/KEY/CRT格式 您可以使用OpenSSL工具，将PFX格式证书文件转化为PEM格式证书文件、KEY格式密钥文件和CRT格式公钥文件。 例如，将您的PFX格式证书文件复制至OpenSSL安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pem”证书文件、KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）： openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt 此转换步骤是专用于通过OpenSSL工具生成私钥和CSR申请证书文件，并且通过此方法您还可以在获取到PEM格式证书公钥的情况下，分离出私钥。在您实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署。