华为云用户手册

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个 域名 有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

步骤一：获取文件 在本地解压已下载的证书文件。 获得证书文件“server.crt”和私钥文件“server.key”。 “server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置Nginx中“conf”目录下的“nginx.conf”文件。 找到如下配置内容： #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 删除行首的配置语句注释符号#。 server { listen 443 ssl; server_name localhost; ssl_certificate cert.pem; ssl_certificate_key cert.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } 修改如下参数，具体参数修改说明如表1所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下，其余参数根据实际情况修改： server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name www.domain.com; #修改为您证书绑定的域名。 ssl_certificate cert/server.crt; #替换成您的证书文件的路径。 ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符，例如“cert/server.key”。 修改完成后保存配置文件。

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个域名有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

PCA自定义策略样例 示例1：授权用户创建CA { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:create ], "Effect": "Allow" } ] } 示例2：拒绝用户删除证书 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“PCA FullAccess”的系统策略，但不希望用户拥有“PCA FullAccess”中定义的删除证书权限，您可以创建一条拒绝删除证书的自定义策略，然后同时将“PCA FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:delete" ], "Effect": "Deny" } ] }

示例流程 图1 给用户授权PCA权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予私有证书管理服务管理员权限“PCA FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择 云证书管理服务 ，如果未提示权限不足，表示“PCA FullAccess”已生效。

PCA支持 云审计 的操作列表 云审计服务记录私有证书管理相关的操作事件，如表1所示。 表1 云审计服务支持的PCA操作列表 操作名称 资源类型 事件名称 创建CA CA createCertificateAuthority 激活CA CA generateCertificateAuthority 导出CA CA exportCertificateAuthority 恢复CA CA restoreCertificateAuthority 启用CA CA enableCertificateAuthority 禁用CA CA disableCertificateAuthority 删除CA CA deleteCertificateAuthority 申请证书 endEntityCert createCertificate 删除证书 endEntityCert deleteCertificate 吊销证书 endEntityCert revokeCertificate 父主题： PCA关键操作审计管理

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

私有CA所有者和接受者权限说明 所有者可以对私有CA执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 私有CA接受者支持的操作列表所示。 表1 私有CA接受者支持的操作列表 角色 支持的操作 操作说明 接受者 pca:ca:export 通过控制台或API进行访问 pca:ca:get 通过控制台或API进行访问 pca:ca:listTags 通过控制台或API进行访问 pca:ca:issueCert 通过控制台或API进行访问 pca:ca:issueCertByCsr 通过控制台或API进行访问 pca:ca:revokeCert 通过控制台或API进行访问

私有证书申请概述 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任，在Internet上不受信任。如需使用在Internet上受信任的证书，请购买SSL证书，具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示，流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 购买私有CA 根据需要购买私有CA。 2 激活私有CA 购买私有CA实例后，需要激活才能用于签发证书。 您可以选择激活已购买的私有CA实例为根CA或子CA。激活后私有CA正式生效，并且可用于签发私有证书。 3 申请私有证书 通过已激活的私有CA，申请私有证书。 4 下载私有证书 申请完成后，即可下载私有证书并在服务器上安装使用。

私有证书安装说明 私有证书下载后需要安装到服务器上进行使用，非国密证书的安装操作与国际标准SSL证书安装操作相同，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书

下载的证书文件说明 根据申请私有证书时，选择的“证书请求文件”方式（“系统生成文件”和“自己生成文件”）的不同，下载文件也有所不同。 系统生成文件 申请私有证书时，如果“证书请求文件”选择的是“系统生成文件”，则下载文件说明如表2所示。 表2 下载文件说明（一） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat keystorePass.txt：证书密码。 server.jks：证书文件。 Nginx server.crt：证书文件，分别为服务器证书和证书链。 server.key：证书私钥文件。 Apache chain.crt：证书链文件。 server.crt：证书文件。 server.key：证书私钥文件。 IIS keystorePass.txt：证书密码。 server.pfx：证书文件。 其他 chain.pem：证书链文件。 server.key：证书私钥文件。 server.pem：证书文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 自己生成文件 申请私有证书时，如果“证书请求文件”选择的是“自己生成文件”，则下载文件说明如表3所示。 表3 下载文件说明（二） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat server.crt：证书文件。 chain.crt：证书链文件。 Nginx server.crt：证书文件 Apache server.crt：证书文件。 chain.crt：证书链文件。 IIS server.crt：证书文件。 chain.crt：证书链文件。 其他 cert.pem：证书文件。 chain.pem：证书链文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥文件 encCert.pem：加密证书文件 signCert.pem：签名证书文件

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略有如下两种应用方式： 1. 事后检查 —— 资源标签如果违反标签策略，则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个SSL证书最多可以添加20个标签。 对于每个证书资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 如您的组织已经设定 云证书管理 服务的相关标签策略，则需按照标签策略规则为SSL证书添加标签。标签如果不符合标签策略的规则，则可能会导致SSL证书标签添加失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个SSL证书，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“=”、“+”、“-”、“@” cost 标签值 可以为空。 长度不超过255个字符。 首尾不能包含空格。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“=”、“+”、“-”、“@” 100

下载地址 目前仅支持下载部分品牌和证书类型的根证书，具体的下载地址如下 ： DigiCert-DV-TLS-CA-G1 DigiCert-EV-root DigiCert-OV-DV-root GeoTrust-CN-RSA-CA-G1 GeoTrust-EV-CN-RSA-G1 GlobalSign-R3-root DigiCert Global Root G2 DigiCert Global RootCA

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

SSL证书所有者和接受者权限说明 所有者可以对SSL证书执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 SSL证书接受者支持的操作列表所示。 表1 SSL证书接受者支持的操作列表 角色 支持的操作 操作说明 接受者 scm:cert:get 通过控制台或API进行访问 scm:cert:getApplicationInfo 通过控制台或API进行访问 scm:cert:getDomainValidation 通过控制台或API进行访问 scm:cert:listDeployedResources 通过控制台或API进行访问 scm:cert:listCertificatesByTag 通过控制台或API进行访问 scm:cert:listTagsByCertificate 通过控制台或API进行访问 scm:cert:listAllTags 通过控制台或API进行访问 scm:cert:push 通过控制台或API进行访问 scm:cert:listPushHistory 通过控制台或API进行访问 scm:cert:enableAutoDeploy 通过控制台或API进行访问 scm:cert:listAutoDeployedResources 通过控制台或API进行访问 scm:cert:deployResources 通过控制台或API进行访问 scm:cert:listDeployResourcesHistory 通过控制台或API进行访问 scm:cert:getDeployQuota 通过控制台或API进行访问

约束条件 推送WAF的场景下，可选择推送证书至不同企业项目下。 推送到CDN中，不能与CDN中已有SSL证书名称重复，否则将会推送失败。 申请证书时，如果“证书请求文件”选择的是“自己生成 CS R”，那么签发的证书不支持推送到云产品。 如果没有购买对应的云产品，或数字证书所绑定的域名没有在对应的云产品中开通服务，请不要将数字证书推送到对应的云产品中，如果推送将可能导致推送失败。 如果您已将证书推送或者上传到对应的云产品中，即目标证书在对应的云产品中已存在，再次通过SCM平台推送时，将会推送失败。

后续操作 证书推送成功后，需要前往目标服务页面进行证书管理配置操作。 配置过程中如有问题，请参考相应服务文档进行处理或咨询对应服务。 ELB：如果需要支持HTTPS数据传输加密认证，在创建HTTPS协议监听的时候需绑定证书。此时，如果选择一键推送证书到ELB，则可以在ELB中选择已推送的证书。否则，需要手动上传证书。具体操作请参见ELB证书管理文档。 另外，一般的HTTPS业务场景只对服务器做认证，因此只需要配置服务器的证书即可，某些关键业务（如银行支付），需要对通信双方的身份都要做认证，即双向认证，以确保业务的安全性。双向认证具体操作请参见HTTPS双向认证。 CDN：如果需要实现HTTPS安全加速，则需要通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点。此时，如果选择一键推送证书到CDN，则可以在CDN中选择已推送的证书。否则，需要手动上传证书。具体操作请参见CDN证书配置文档。 如需部署证书到CDN，请参见部署SSL证书到CDN章节。 已上传的第三方证书和有效期为三个月的测试证书部署到 华为云产品 需要收费，每一张证书部署到华为云产品的一个域名计为一次部署，证书部署费用为30元/次。具体收费详情请参见关于调整证书部署功能的通知。 WAF：当接入防护域名至WAF时，如果客户端与WAF之间的通信采用HTTPS协议，则需要配置证书。此时，如果选择一键推送证书到WAF，则可以在WAF中选择已推送的证书。否则，需要手动上传证书。具体操作请参见WAF证书配置文档。 如果已配置证书到WAF中，仅需要更新证书，具体操作请参见更新证书。

SCM自定义策略样例 示例1：授权用户下载证书 { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:download" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除证书 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“SCM Administrator”的系统策略，但不希望用户拥有“SCM Administrator”中定义的删除证书权限，您可以创建一条拒绝删除证书的自定义策略，然后同时将“SCM Administrator”和拒绝策略授予用户，根据Deny优先原则，则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:delete" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:complete", "scm:cert:push", "cdn:configuration:queryHttpsConf" ], "Effect": "Allow" } ] }

操作步骤 请登录您在申请证书时填写的联系人邮箱。 打开来自CA机构的组织验证邮件。 回复CA机构的邮件以选择组织验证方式。 组织验证包括电话、 企业邮箱 、律师函方式等，其中律师函方式需要额外收费500元。请根据您的实际情况进行选择。 如果需要更改组织验证方式，请直接回复CA中心的邮件。 请您留意所选择的验证方式，配合CA机构进行处理。 例如，您选择的组织验证方式为电话验证，则CA机构将通过企业/组织的公开电话与您联系，请您留意并及时进行处理。

步骤一：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级CA），并另存为“ca.crt”文件。 将“ca.crt”、“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的域名。 找到并修改如下参数： ServerName www.example.com:443 完整配置如下（以“www.domain.com”为例）： ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数： SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 完整配置如下： SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数： SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径，且路径中不能包含中文字符，例如“cert/server.key”。 完整配置如下： SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数： #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”，并设置为“ca.crt”文件的路径，且路径中不能包含中文字符，例如“cert/ca.crt”。 完整配置如下： SSLCertificateChainFile "cert/ca.crt" 修改后，保存“ssl.conf”文件并退出编辑。

步骤五：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？进行处理。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

后续处理 提交审核后，证书颁发机构将向您填写的邮箱发送一封域名验证邮件，您需要按照需求进行域名验证。如果您不进行域名验证，您的证书将一直处于“CA审核中（追加域名）”状态，且您的证书将无法通过审核。验证时间根据不同CA中心的要求而不同，请您关注您的邮箱和电话，及时回馈能有效缩短您的数字证书的验证时间。 新增附加域名仅需进行域名验证，待域名验证完成，CA系统中心审核通过后，即可签发证书。 域名验证详细操作请参见域名验证。

SCM支持云审计的操作列表 云审计服务记录SSL证书管理相关的操作事件，如表1所示。 表1 云审计服务支持的SCM操作列表 操作名称 资源类型 事件名称 修改证书 scm modifyScmCert 新建证书订单 scm createScmNewCert 购买证书 scm purchaseScmCert 上传用户认证信息 scm uploadScmUserMessage 补全证书信息 scm completeScmCert 下载证书 scm downloadScmCert 删除证书 scm deleteScmCert 取消证书审核 scm cancelScmCert 吊销证书 scm revokeScmCert 上传证书 scm uploadScmCert 推送证书到ELB scm pushScmCertToELB 父主题： SCM关键操作审计管理

示例流程 图1 给用户授权SCM权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予SSL证书管理的管理员权限“SCM Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云证书管理服务，如果未提示权限不足，表示“SCM Administrator”已生效。

基本概念 概念 说明 管理员 管理员负责创建、管理和授权产品。 终端用户 终端用户可以查询、启动被授权后的产品，生成云资源。 产品 产品是服务目录专有概念，底层是基于Terraform或Json构成的云资源模板。根据Terraform及Json的定义，可以是单个云资源，也可以是多个云资源的组合。 产品版本 每次变更产品的Terraform或Json模板，会产生一个新的产品版本。 产品组合 产品组合由一个或多个产品构成，是管理产品的方式。 实例 实例是终端用户使用服务目录创建的云资源，可以是单个云资源（例如：一台ECS），也可以是多个云资源（例如：多台ECS、一个数据库、一个VPC等）的组合。 授权 在产品组合中，管理员可以为终端用户授权，以便终端用户在服务目录查看产品组合中的所有产品。终端用户为当前租户下的所有用户。

配置步骤 登录CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在自定义错误页面配置模块，单击“添加”，系统弹出“自定义错误页面配置”对话框。 图1 自定义错误页面配置 表1 参数说明 参数 描述 示例 错误码 需要自定义页面错误码4xx、5xx。 404 重定向方式 配置错误码页面重定向到新页面的方式，可选301或302重定向。 301 重定向的目标链接 自定义错误码跳转的新页面，必须以http://或https://开头。 https://example.com/error404.html 输入各项参数，单击“确定”，完成配置。