华为云用户手册

后续操作 提交证书申请。 详细操作请参见提交 SSL证书申请 。 填写证书申请信息时，公司名称请保持与旧证书一致，续费证书不支持修改公司名称。 域名 验证。 详细操作请参见域名验证。 （OV、EV型）组织验证。 详细操作请参见组织验证。 签发证书。 以上操作完成后，请您耐心等待，CA机构将还需要一段时间进行处理。CA机构审核通过后，将会签发证书。 安装证书。 将已签发的续费证书安装到您的Web服务器，替换即将过期的旧证书。如果您没有在Web服务器中安装续费证书，则在旧证书过期后，您的服务器将无法正常使用HTTPS服务。 不同Web服务器安装SSL证书的具体操作不同，以下介绍了几种在主流Web服务器上安装SSL证书的方法，请根据您的需要进行选择： 在Tomcat上安装SSL证书的详细指导操作请参见如何在Tomcat上安装SSL证书？。 在Nginx上安装SSL证书的详细指导操作请参见如何在Nginx上安装SSL证书？。 在Apache上安装SSL证书的详细指导操作请参见如何在Apache上安装SSL证书？。 在IIS上安装SSL证书的详细指导操作请参见如何在IIS上安装SSL证书？。 在Weblogic上安装SSL证书的详细指导操作请参见在Weblogic服务器上安装SSL证书。 查看续费证书是否安装成功。 续费证书安装到Web服务器后，可通过浏览器查看证书是否已更新。 通过Web浏览器访问您的网站。 单击浏览器地址栏的，查看证书的有效期是否已更新。 如果证书有效期已显示为新证书的有效期，表示您的续费证书已完成更新。 图2 有效期

下载地址 目前仅支持下载部分品牌和证书类型的根证书，具体的下载地址如下 ： DigiCert-DV-TLS-CA-G1 DigiCert-EV-root DigiCert-OV-DV-root GeoTrust-CN-RSA-CA-G1 GeoTrust-EV-CN-RSA-G1 GlobalSign-R3-root DigiCert Global Root G2 DigiCert Global RootCA

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

SSL证书所有者和接受者权限说明 所有者可以对SSL证书执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 SSL证书接受者支持的操作列表所示。 表1 SSL证书接受者支持的操作列表 角色 支持的操作 操作说明 接受者 scm:cert:get 通过控制台或API进行访问 scm:cert:getApplicationInfo 通过控制台或API进行访问 scm:cert:getDomainValidation 通过控制台或API进行访问 scm:cert:listDeployedResources 通过控制台或API进行访问 scm:cert:listCertificatesByTag 通过控制台或API进行访问 scm:cert:listTagsByCertificate 通过控制台或API进行访问 scm:cert:listAllTags 通过控制台或API进行访问 scm:cert:push 通过控制台或API进行访问 scm:cert:listPushHistory 通过控制台或API进行访问 scm:cert:enableAutoDeploy 通过控制台或API进行访问 scm:cert:listAutoDeployedResources 通过控制台或API进行访问 scm:cert:deployResources 通过控制台或API进行访问 scm:cert:listDeployResourcesHistory 通过控制台或API进行访问 scm:cert:getDeployQuota 通过控制台或API进行访问

约束条件 免费证书、多域名类型证书、已吊销证书不支持重新签发。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。

约束条件 推送WAF的场景下，可选择推送证书至不同企业项目下。 推送到CDN中，不能与CDN中已有SSL证书名称重复，否则将会推送失败。 申请证书时，如果“证书请求文件”选择的是“自己生成 CS R”，那么签发的证书不支持推送到云产品。 如果没有购买对应的云产品，或数字证书所绑定的域名没有在对应的云产品中开通服务，请不要将数字证书推送到对应的云产品中，如果推送将可能导致推送失败。 如果您已将证书推送或者上传到对应的云产品中，即目标证书在对应的云产品中已存在，再次通过SCM平台推送时，将会推送失败。

后续操作 证书推送成功后，需要前往目标服务页面进行证书管理配置操作。 配置过程中如有问题，请参考相应服务文档进行处理或咨询对应服务。 ELB：如果需要支持HTTPS数据传输加密认证，在创建HTTPS协议监听的时候需绑定证书。此时，如果选择一键推送证书到ELB，则可以在ELB中选择已推送的证书。否则，需要手动上传证书。具体操作请参见ELB证书管理文档。 另外，一般的HTTPS业务场景只对服务器做认证，因此只需要配置服务器的证书即可，某些关键业务（如银行支付），需要对通信双方的身份都要做认证，即双向认证，以确保业务的安全性。双向认证具体操作请参见HTTPS双向认证。 CDN：如果需要实现HTTPS安全加速，则需要通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点。此时，如果选择一键推送证书到CDN，则可以在CDN中选择已推送的证书。否则，需要手动上传证书。具体操作请参见CDN证书配置文档。 如需部署证书到CDN，请参见部署SSL证书到CDN章节。 已上传的第三方证书和有效期为三个月的测试证书部署到 华为云产品 需要收费，每一张证书部署到华为云产品的一个域名计为一次部署，证书部署费用为30元/次。具体收费详情请参见关于调整证书部署功能的通知。 WAF：当接入防护域名至WAF时，如果客户端与WAF之间的通信采用HTTPS协议，则需要配置证书。此时，如果选择一键推送证书到WAF，则可以在WAF中选择已推送的证书。否则，需要手动上传证书。具体操作请参见WAF证书配置文档。 如果已配置证书到WAF中，仅需要更新证书，具体操作请参见更新证书。

步骤三：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：配置Weblogic 登录Weblogic服务器管理控制台。 单击页面左上方“Lock & Edit”，解锁配置。 在“Domain Configurations”中，单击“Servers”。 图2 服务器 在服务器列表中，选择您需要配置服务器证书的Server，进入服务器的设置页面。 图3 目标服务器 修改HTTPS端口。 在服务器的配置页面，选择“General”页签，配置是否启用HTTP和HTTPS，以及访问端口号。 请勾选“Listen SSL Port Enabled”，并修改端口号为“443”。 图4 端口 配置认证方式和密钥。 在服务器的配置页面，选择“Keystores”页签，配置认证方式。 图5 认证方式 服务器身份认证请选择“Custom identity and Java Standard Trust”。 双向认证请选择“Custom Identity and Custom Trust”。 在“Identity”区域中，配置密钥。 配置密钥库文件server.jks所保存的服务器上的路径，并填写密钥库文件密码。 图6 密钥 Custom Identity Keystore：请填写jks文件保存路径。示例：C:\bea\server.jks Custom Identity Keystore Type：文件格式请填写“jks”。 Custom Identity Keystore Passphrase：请填在证书密码，即“keystorePass.txt”中的密码。 Confirm Custom Identity Keystore Passphrase：请再次填写证书密码。 在单向认证中，需要配置JRE默认信任库文件cacerts。 Cacerts默认密码为changeit。 图7 信任库文件 Java Standard Trust Keystore Passphrase：输入默认密码changeit。 Confirm Java Standard Trust Keystore Passphrase：再次输入默认密码。 配置服务器证书私钥别名。 在服务器的配置页面，选择“SSL”页签，配置以下参数： 图8 私钥 Identity and Trust Locations：请选择为“Keystores”。 Private KeyAlias：配置私钥库中的私钥别名信息。私钥别名可以使用keystool -list命令查看。 Private Key Passphrase：输入私钥保护密码。通常私钥保护密码和keystore文件保护密码相同。 Confirm Private Key Passphrase：再次输入私钥保护密码。 设置完成后，单击“Active Changes”，保存所有修改。 图9 保存配置 （可选）如果系统提示需要重启Weblogic，则需要重启后才能使配置生效。如图10所示，则无需重启。 图10 提示信息

SCM自定义策略样例 示例1：授权用户下载证书 { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:download" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除证书 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“SCM Administrator”的系统策略，但不希望用户拥有“SCM Administrator”中定义的删除证书权限，您可以创建一条拒绝删除证书的自定义策略，然后同时将“SCM Administrator”和拒绝策略授予用户，根据Deny优先原则，则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:delete" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:complete", "scm:cert:push", "cdn:configuration:queryHttpsConf" ], "Effect": "Allow" } ] }

域名验证概述 证书提交申请后，您需要进行域名授权验证。按照CA中心的规范，如果您申请了SSL证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。 当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，才会签发证书。 如果不完成域名验证，您的证书将无法通过审核，且您的证书申请将会一直显示“待完成域名验证”的状态。 华为云SSL证书管理提供以下几种方式，根据您申请证书时，选择的验证方式进行操作： 表1 域名验证方式 验证方式 说明 适用场景 自动DNS验证 指您授权SCM服务修改域名的DNS解析记录，自动在解析记录中添加一条用于验证记录，无需您手动修改域名解析记录。 购买的是DV（域名型）证书； 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务（Domain Name Service）； 以上条件必须全部满足系统才会进行自动DNS验证。 手动DNS验证 指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录，在解析记录中添加一条用于验证的记录。 您有权限修改域名的DNS解析设置（即拥有域名管理权限）； 申请证书时，域名验证方式选择了手动DNS验证（DV型证书无需此项）。 邮箱验证 即您登录域名管理员邮箱，接收域名确认邮件并回复CA机构发送的域名确认邮件。 您有权限登录域名管理员邮箱（即拥有域名管理权限）。 文件验证 指由您手动从SCM控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。 购买的是IP证书 您有权限向网站所在服务器的根目录写入内容（即拥有服务器管理权限）。 服务器开放了80或443端口，支持监听HTTP、HTTPS访问。 注意： 目前CA机构仅支持向80或443端口发起认证请求。如果您的服务器未开放80或443端口，则请勿使用文件验证方式。 父主题： 域名验证

操作步骤 请登录您在申请证书时填写的联系人邮箱。 打开来自CA机构的组织验证邮件。 回复CA机构的邮件以选择组织验证方式。 组织验证包括电话、 企业邮箱 、律师函方式等，其中律师函方式需要额外收费500元。请根据您的实际情况进行选择。 如果需要更改组织验证方式，请直接回复CA中心的邮件。 请您留意所选择的验证方式，配合CA机构进行处理。 例如，您选择的组织验证方式为电话验证，则CA机构将通过企业/组织的公开电话与您联系，请您留意并及时进行处理。

操作步骤 登录您申请域名的域名管理员邮箱。 打开来自CA机构的域名确认邮件。 CA机构发送域名确认邮件需要大约一个工作日。如您短时间内未收到域名确认邮件，请耐心等待。如一个工作日后仍未收到邮件，请检查域名管理员邮箱正确性。 预留域名管理员邮箱地址配置错误：需要您撤回当前SSL证书申请，并重新配置邮箱地址信息，具体操作请参见撤回SSL证书申请，是否撤回成功以华为云SSL证书列表呈现最终状态为准。 预留域名管理员邮箱地址配置无误：一个工作日后仍未收到邮件，请您提工单联系我们，并在工单中进行描述。 单击邮件中的认证按钮，完成域名验证。 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。 如您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

步骤二：配置IIS 安装IIS，请参照IIS相关安装指导进行安装。 打开IIS管理控制台，双击“服务器证书”，如图2所示。 图2 服务器证书 在弹出的窗口中，单击“导入”，如图3所示。 图3 导入 导入“server.pfx”证书文件，单击“确定”。 “密码”配置框内需要输入“keystorePass.txt”文件内的密码。 图4 导入pfx证书文件 鼠标右键单击目标站点（这里以默认站点为例），选择“编辑绑定”，如图5所示。 图5 编辑绑定 在弹出的窗口中，单击“添加”，并填写以下信息。 图6 添加网站绑定 类型：选择“https”。 端口：保持默认的“443”端口即可。 SSL证书：选择4导入的证书。 填写完成后，单击“确定”。

步骤三：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤五：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级CA），并另存为“ca.crt”文件。 将“ca.crt”、“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的域名。 找到并修改如下参数： ServerName www.example.com:443 完整配置如下（以“www.domain.com”为例）： ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数： SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 完整配置如下： SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数： SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径，且路径中不能包含中文字符，例如“cert/server.key”。 完整配置如下： SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数： #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”，并设置为“ca.crt”文件的路径，且路径中不能包含中文字符，例如“cert/ca.crt”。 完整配置如下： SSLCertificateChainFile "cert/ca.crt" 修改后，保存“ssl.conf”文件并退出编辑。

步骤七：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤四：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置Nginx中“conf”目录下的“nginx.conf”文件。 找到如下配置内容： #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 删除行首的配置语句注释符号#。 server { listen 443 ssl; server_name localhost; ssl_certificate cert.pem; ssl_certificate_key cert.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } 修改如下参数，具体参数修改说明如表 参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下，其余参数根据实际情况修改： server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name www.domain.com; #修改为您证书绑定的域名。 ssl_certificate cert/server.crt; #替换成您的证书文件的路径。 ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符，例如“cert/server.key”。 修改完成后保存配置文件。

步骤一：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”，即“server.crt”。 将“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

前提条件 证书已签发且“证书状态”为“已签发”。 已下载SSL证书，具体操作请参见下载证书。 已安装OpenSSL工具。 您可以从“https://www.openssl.org/source/”下载最新的OpenSSL工具安装包（要求OpenSSL版本必须是1.0.1g或以上版本）。 已安装Keytool工具。 Keytool工具一般包含在Java Development Kit（JDK）工具包中。 待安装证书为国际标准证书。

步骤五：效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/fileauth.txt”或“http://yourdomain/.well-known/pki-validation/fileauth.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/fileauth.txt或http://example.com/.well-known/pki-validation/fileauth.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/fileauth.txt或http://domain.com/.well-known/pki-validation/fileauth.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图3所示，说明域名授权验证配置已经生效。 图3 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图4 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图5 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图6 生效时间

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

后续处理 补充申请资料 CFCA品牌的证书提交证书申请后，CFCA机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章的CFCA证书申请表（确保控制台申请信息与申请表申请信息一致）、营业执照复印件和经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 vTrus品牌的国际标准（RSA）证书提交证书申请后，vTrus机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章或部门章的授权函、经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 提交审核后，CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。 您需要按照要求进行域名验证。具体操作请参见域名验证。 如果已提交了证书申请，发现信息填写错误，可撤销申请，修改信息后重新提交证书申请，撤回申请具体操作请参见撤回证书申请。

SSL证书使用概述 华为云SSL证书提供多个品牌和类型的证书，详情请参见各证书之间的区别。本文档介绍如何购买和使用华为云SSL证书。 您的网站使用SSL证书后，将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 相关流程如图 证书使用流程所示，具体说明如表 证书使用流程说明所示。 图1 证书使用流程 表1 证书使用流程说明 步骤 操作 说明 1 购买SSL证书 在SSL证书管理平台，根据您的域名类型选购对应的证书。 各类型证书之间的区别以及选择请参见各类型SSL证书之间的区别、如何选择SSL证书？。 2 提交SSL证书申请 成功购买证书后，您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。 3 域名验证 按照CA中心的规范，证书提交申请后您需要配合完成域名授权验证来证明您对所申请绑定域名的所有权。 SCM提供有以下几种验证方式： 自动DNS验证：符合条件的证书可选。 手动DNS验证：所有类型证书均可选。 邮箱验证：仅OV、EV型证书可选。 文件验证：仅IP证书支持。 4 组织验证（OV、EV） 仅当申请OV、OV Pro、EV和EV Pro类型证书时，需要该操作。 域名验证完成后，CA机构需要确认企业/组织是否发起了此次的证书订单申请。 5 签发SSL证书 验证完成后，CA机构还需要一段时间进行处理，请您耐心等待。具体申请时间请参见各证书的申请时长。 CA机构审核通过后，将签发证书。证书自签发之时开始生效，有效期为1年。 6 安装SSL证书 证书签发后，您可以一键部署证书到华为云其他云产品或下载证书并安装到服务器上进行使用。 将证书部署到其他云产品后，将帮助您提升对应云产品访问数据的安全性。 SSL证书安装到Web服务器后，您的Web服务器才能实现HTTPS加密通信，实现通信安全。 7 续费SSL证书 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长为一年，证书到期后将不再被浏览器信任，建议您提前开通自动续费或在证书即将到期前三十天进行手动续费，避免因证书过期对您的业务产生影响。 SSL证书续费操作相当于重新申请了一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。证书续费后，您需要将续费签发的新证书重新安装到您的Web服务器或部署到华为云其他云产品，替换即将过期的旧证书。 8 吊销SSL证书 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在SSL证书管理控制台申请吊销证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。

约束与限制 满足以下条件（必须全部满足）的SSL证书订单，可申请退订： 您通过华为云SSL证书管理控制台购买了SSL证书。 距离SSL证书订单下单时间（完成支付的时间）不超过7个自然日，即距离SSL证书订单完成支付时间顺延不超过7*24小时。 例如，12月1日12:00完成SSL证书订单支付，则在12月8日11:59前可以退订，12月8日11:59后将不支持退订。 购买7天后不支持退款。 已购买的SSL证书符合以下情况之一： 未提交证书申请，证书状态为“待申请”。 提交过证书申请，证书未签发，且已取消申请，证书状态为“待申请”。 提交过证书申请，证书已签发，且在下单后7个自然日内完成了证书吊销流程（不仅是提交了吊销申请，须完成吊销流程），证书状态为“已吊销”。 全额退款将退还您在购买SSL证书时所支付的费用。 退款仅限于退还您在购买或续费SSL证书或相关服务订单时所支付的费用，代金券、优惠券抵扣的部分不支持退回。 多年期证书，第一张证书已签发，并在下单后7个自然日内完成了证书吊销流程，支持全额退订。