华为云用户手册

  • 使用须知 舆情监测提供按需计费模式,根据报告份数(一份报告仅包含一个监测主题)按次进行收费。 舆情监测提供有专报、月报和年包三种类型的报告供您选择。 专报:根据具体事件的实际发生时间自动配置,购买后5个工作日内提供1份报告。 月报:监测周期为自定义设置的1个月。在监测周期结束后,7个工作日内提供1份报告。 年包:监测周期为自定义设置的1年。每月监测任务结束后,7个工作日内提供1份月报,一年的监测任务结束后,15个工作日内提供1份年报。
  • 购买BMS 本步骤仅针对本示例进行参数设置及介绍,更多购买BMS的详细配置请参见创建裸金属服务器。 华为云不定期推出优惠活动,购买前请您先前往官网活动查询。活动规则以届时官网活动页面展示为准。 登录控制台,进入购买裸金属服务器页面。 设置“基础配置”。 图1 “基础配置”参数设置 表1 “基础配置”参数设置说明 参数 示例 说明 区域 西南-贵阳一 请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。BMS购买后无法更换区域,请谨慎选择。 更多信息,请参见区域和可用区。 可用区 可用区1 可用区指在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。BMS购买后无法更换可用区。 规格 physical.s4.xlarge 请根据业务需要选择合适的规格。更多信息,请参见实例家族。 镜像 CentOS 7.9 64bit 华为云提供的Linux类型公共镜像,该镜像免费。 磁盘 通用型SSD,150GiB 磁盘包括系统盘和数据盘,购买BMS时自带系统盘,且系统盘自动初始化。 更多信息,请参见云硬盘。 设置“网络”。 图2 “网络”参数设置 表2 “网络”参数设置说明 参数 示例 说明 网络 vpc-default-smb 使用系统默认创建的VPC和子网。 更多信息,请参见虚拟私有云和子网规划建议。 增强高速网卡 1*10GE BMS最多有两块增强高速网卡,并且依赖于扩展网卡总带宽。此示例中“physical.s4.xlarge”的扩展配置为2 x 2*10GE ,其中1块双网口的10GE网卡接入VPC网络,2*10GE扩展网卡支撑BMS间的高速互联,故可以配置2块1*10GE或1块2*10GE增强高速网卡。 设置“安全组”。 图3 “安全组”参数设置 表3 “安全组”参数设置说明 参数 示例 说明 安全组 default 使用系统默认创建的安全组。 更多信息,请参见添加安全组规则。 设置“弹性公网IP”。 图4 “弹性公网IP”参数设置 表4 “弹性公网IP”参数设置说明 参数 示例 说明 弹性公网IP 现在购买 如需访问公网,则可以为BMS购买和绑定弹性公网IP。 更多信息,请参见弹性公网IP概述。 线路 全动态BGP 公网带宽 按流量计费 带宽大小 5 Mbit/s 设置“高级配置”。 图5 “高级配置”参数设置 表5 “高级配置”参数设置说明 参数 示例 说明 裸金属服务器名称 bms-9493 根据命名规则,自定义BMS的名称。 登录凭证 密码 选择“登录凭证”方式为“密码”,并根据密码设置原则,设置安全性高的密码。 企业项目 default 仅当使用企业类型的账号购买BMS时,会显示该参数。 用于按项目统一管理云资源。 设置“购买量”。 图6 参数设置 表6 “购买量”参数设置说明 参数 示例 说明 购买时长 1 BMS购买时长最短为1个月,最长为1年。 购买数量 1 为了保证所有资源的合理分配,如果您需要的BMS数量超过当前可以购买的最大数值,可以申请扩大配额,请参见调整资源配额。 阅读协议并勾选同意后,单击“去支付”,完成BMS的购买。
  • 操作场景 裸金属服务(Bare Metal Server,BMS)是一款兼具弹性云服务器和物理机性能的计算类服务,为您和您的企业提供专属的云上物理服务器,您只需要指定具体的服务器类型、镜像、所需要的网络配置等,即可在30min内获得所需的裸金属服务器。 本文以如下配置为例,介绍购买和使用BMS的操作指导。 购买数量:1台 计费模式:包年包月付费,不支持按量付费 规格:physical.s4.xlarge 操作系统:Linux 登录凭证:密码
  • 准备工作 注册账号并实名认证。 在购买BMS之前,请先 注册华为账号 并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 为账户充值。 请保证账户有足够的资金,以免购买BMS失败。具体操作,请参见账户充值。 规划VPC和子网等网络资源。 当您开始购买BMS的操作时,系统会创建默认的VPC(vpc-default)和子网(subnet-default)。 如果您不想使用默认的VPC和子网,建议您提前在对应区域创建新的VPC和子网。更多信息,请参见虚拟私有云和子网规划建议。 创建安全组并配置安全组规则。 当您开始购买BMS的操作时,系统会默认创建一个安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限。裸金属服务器将受默认安全组保护,默认安全组规则能够满足基本通信要求。 如果默认安全组和规则不能满足您的业务需要,建议您提前修改安全组规则。具体操作,请参见添加安全组规则。
  • 购买BMS 本步骤仅针对本示例进行参数设置及介绍,更多购买BMS的详细配置请参见创建裸金属服务器。 华为云不定期推出优惠活动,购买前请您先前往官网活动查询。活动规则以届时官网活动页面展示为准。 登录控制台,进入购买裸金属服务器页面。 设置“基础配置”。 图1 “基础配置”参数设置 表1 “基础配置”参数设置说明 参数 示例 说明 区域 西南-贵阳一 请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。BMS购买后无法更换区域,请谨慎选择。 更多信息,请参见区域和可用区。 可用区 可用区1 可用区指在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。BMS购买后无法更换可用区。 规格 physical.s4.xlarge 请根据业务需要选择合适的规格。更多信息,请参见实例家族。 镜像 Windows Server 2016 标准版 64位简体中文_150GB 来自云市场,由第三方提供服务。 磁盘 通用型SSD,150GiB 磁盘包括系统盘和数据盘,购买BMS时自带系统盘,且系统盘自动初始化。 更多信息,请参见云硬盘。 设置“网络”。 图2 “网络”参数设置 表2 “网络”参数设置说明 参数 示例 说明 网络 vpc-default-smb 使用系统默认创建的安全组。 更多信息,请参见添加安全组规则。 增强高速网卡 1*10GE BMS最多有两块增强高速网卡,并且依赖于扩展网卡总带宽。此示例中“physical.s4.xlarge”的扩展配置为2 x 2*10GE ,其中1块双网口的10GE网卡接入VPC网络,2*10GE扩展网卡支撑BMS间的高速互联,故可以配置2块1*10GE或1块2*10GE增强高速网卡。 设置“安全组”。 图3 “安全组”参数设置 表3 “安全组”参数设置说明 参数 示例 说明 安全组 default 使用系统默认创建的安全组。 更多信息,请参见添加安全组规则。 设置“弹性公网IP”。 图4 “公网访问”参数设置 表4 “弹性公网IP”参数设置说明 参数 示例 说明 弹性公网IP 现在购买 如需访问公网,则可以为BMS购买和绑定弹性公网IP。 更多信息,请参见弹性公网IP概述。 线路 全动态BGP 公网带宽 按流量计费 带宽大小 1 Mbit/s 设置“高级配置”。 图5 “高级配置”参数设置 表5 “高级配置”参数设置说明 参数 示例 说明 裸金属服务器名称 bms-95bc 根据命名规则,自定义BMS的名称。 密钥对 KeyPair-e221 使用已有的密钥对或新建密钥对,并确认已获取密钥对的私钥文件,否则无法登录BMS。 具体操作,请参见通过管理控制台创建密钥对。 企业项目 default 仅当使用企业类型的账号购买BMS时,会显示该参数。 用于按项目统一管理云资源。 设置“购买量”。 图6 参数设置 表6 “购买量”参数设置说明 参数 示例 说明 购买时长 1 BMS购买时长最短为1个月,最长为1年。 购买数量 1 为了保证所有资源的合理分配,如果您需要的BMS数量超过当前可以购买的最大数值,可以申请扩大配额,请参见调整资源配额。 阅读协议并勾选同意后,单击“去支付”,完成BMS的购买。
  • 操作场景 裸金属服务(Bare Metal Server,BMS)是一款兼具弹性云服务器和物理机性能的计算类服务,为您和您的企业提供专属的云上物理服务器,您只需要指定具体的服务器类型、镜像、所需要的网络配置等,即可在30min内获得所需的裸金属服务器。 本文以如下配置为例,介绍购买和使用BMS的操作指导。 购买数量:1台 计费模式:包年包月付费,不支持按量付费 规格:physical.s4.xlarge 操作系统:Windows 登录凭证:密钥
  • 准备工作 注册账号并实名认证。 在购买BMS之前,请先注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 为账户充值。 请保证账户有足够的资金,以免购买BMS失败。具体操作,请参见账户充值。 规划VPC和子网等网络资源。 当您开始购买BMS的操作时,系统会创建默认的VPC(vpc-default)和子网(subnet-default)。 如果您不想使用默认的VPC和子网,建议您提前在对应区域创建新的VPC和子网。更多信息,请参见虚拟私有云和子网规划建议。 创建安全组并配置安全组规则。 当您开始购买BMS的操作时,系统会默认创建一个安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限。裸金属服务器将受默认安全组保护,默认安全组规则能够满足基本通信要求。 如果默认安全组和规则不能满足您的业务需要,建议您提前修改安全组规则。具体操作,请参见添加安全组规则。
  • 安装及启动Nginx 输入yum install nginx命令安装Nginx,当需要确认时输入“y”确认。 出现下图表示Nginx安装成功。 华为云内网提供了免费的YUM源、NTP服务、DNS服务,无需您手动搭建。 输入systemctl start nginx.service启动Nginx服务。 此处以CentOS 7.4 64bit为例,其他操作系统的Nginx启动命令请您自行查阅。 输入wget http://127.0.0.1,测试Nginx服务。
  • 通用概念 概念 说明 微服务 微服务是业务概念,即提供某种服务的某个进程。 每一个服务都具有自主运行的业务功能,对外开放不受语言限制的API (最常用的是HTTP)。 多个微服务组成应用程序。 实例 一个微服务的最小运行和部署单元,通常对应一个应用进程。同一个微服务通过部署在多个容器或虚机,可以实现多个实例同时运行。 配置 微服务场景中的配置是指对程序代码中某些变量的取值控制。比如,动态配置就是通过在微服务运行过程中对某些变量的取值进行动态变更。
  • 应用网关相关概念 概念 说明 域名 通过域名管理不同域名下的协议、证书、路由配置。支持完整域名(如:www.hello.com、三级及以上域名模糊(如:*.hello.io))。 协议 协议是一套用于格式化和处理数据的规则,支持的协议有HTTP和HTTPS。 服务来源 支持Nacos、ServiceComb引擎作为服务来源。将注册了服务的 CS E Nacos引擎和ServiceComb引擎添加到网关服务来源中,以便网关能够动态获取您的服务列表。 目标服务 路由转发请求到的服务。 鉴权规则 通过设置鉴权类型、鉴权模式定义的一种规则。 鉴权模式 鉴权模式支持黑名单模式。 黑名单模式 在鉴权规则中,符合条件的需要鉴权,其余不需要鉴权。
  • Nacos引擎相关概念 概念 说明 命名空间 用于进行租户粒度的配置隔离。命名空间可以实现不同环境的配置的区分隔离,例如开发测试环境和生产环境的资源(如配置、服务)隔离等。 配置集 配置项的集合称为配置集。通常一个配置文件就是一个配置集,包含了系统各个方面的配置。 配置集ID Nacos中的某个配置集的ID。一个系统或者应用可以包含多个配置集,每个配置集都可以被一个名称标识。 分组 Nacos中的一组配置集,是组织配置的维度之一。通过字符串对配置集进行分组,从而区分配置集ID相同的配置集。如果未填写配置分组的名称,则默认为DEFAULT_GROUP 。 保护阈值 保护阈值与集群中健康实例的占比有关。如果健康实例占比小于或等于此值,会触发保护阈值,Nacos会将全部实例(健康实例 + 非健康实例)全部返回给调用者。保护阈值未触发时,Nacos只会把健康实例返回给调用者。 灰度发布 在配置正式发布前可先进行小部分的发布验证,待配置没问题后再正式发布,从而降低配置推送的风险。 权重 实例级别的配置。权重为浮点数。权重越大,分配给该实例的流量越大。 元数据 Nacos数据(如配置和服务)描述信息,如服务版本、权重等,从作用范围来看,可分为服务级别的元信息、集群的元信息及实例的元信息。
  • 版本支持机制 引擎创建 只能创建最新版本的ServiceComb引擎,不支持指定版本创建引擎。 引擎维护 CSE后台同时支持维护最新的3个正式版本。其余的版本,CSE将不再提供技术支持,包括支持新的功能、社区bugfix回合、漏洞修复、升级等。 引擎升级 正式版本升级,支持当前最新的3个正式版本中的2个较低版本升级到最新版本。例如,当前最新的3个正式版本为2.3、2.2、2.1,则支持由2.1、2.2升级到2.3。 当引擎升级已超出可支持升级的版本范围,例如由2.0升级到2.3,可能导致ServiceComb引擎的管理功能不可用,请谨慎操作。 您可以通过提交工单,进行升级前风险评估。 补丁版本升级,CSE后台提供补丁版本自动升级,例如由2.3.0升级到2.3.1。
  • 配额说明 配额是指您引擎实例中可创建的资源数量限制。如需使用更大配额,请提交工单申请扩大配额。 Nacos引擎实例中可创建的资源数量限制如表1所示。 表1 Nacos引擎资源配额限制 资源 最大配额 是否支持修改配额 注意事项 Nacos单实例命名空间数量 50个 否 - Nacos单个配置文件大小上限 100KB 否 - Nacos单个命名空间配置总计大小 10MB 否 - 带宽(网络流出+流入之和) 2Mbit/s 否 - Nacos单实例配置文件数量上限 10,000个 否 - ServiceComb引擎实例中可创建的资源数量限制如表2所示。 表2 ServiceComb引擎资源配额限制 功能 资源 最大配额 是否支持修改配额 注意事项 微服务管理 微服务版本数量(个) 10,000 暂不支持 - 单个实例数据量(KB) 200 支持 扩大配额后,将增加微服务发现的时延。 单个微服务契约数量(个) 500 暂不支持 - 配置管理 单个配置数据量(KB) 128 暂不支持 - 单个应用级配置数量(个) 2,000 暂不支持 - 微服务治理 应用级的治理策略 1,000 暂不支持 所有的应用的治理策略总和不能超过1000条。 单个治理策略包含:治理规则和业务场景。治理规则和业务场景实际会等量占用配置中心的配额。 微服务版本数:微服务场景中版本用来标记微服务的迭代记录,方便对微服务的不同迭代进行管理。 微服务实例数:实例是一个微服务的最小运行和部署单元,通常对应一个应用进程。同一个微服务通过部署在多个容器或虚机,可以实现多个实例同时运行。 配置条目数:微服务场景中的配置是指对程序代码中某些变量的取值控制。比如,动态配置就是通过在微服务运行过程中对某些变量的取值进行动态变更。
  • ServiceComb引擎微服务开发框架版本要求 微服务开发框架推荐版本如下表所示。 如果已经使用低版本的微服务开发框架构建应用,建议升级到推荐版本,以获取最稳定和丰富的功能体验。 如果已使用Spring Cloud微服务开发框架开发了应用,推荐使用Spring Cloud Huawei接入应用。 如果基于开源开放和业界生态组件新开发微服务应用,可选择Spring Cloud框架。 如果希望使用ServiceComb引擎提供的开箱即用的治理能力和高性能的RPC框架,可选择Java Chassis框架。 框架 推荐版本 说明 Spring Cloud Huawei 1.10.9-2021.0.x及以上 采用Spring Cloud Huawei项目提供接入支持: 适配的Spring Cloud版本为2021.0.5 适配的Spring Boot版本为2.6.13 Spring Cloud微服务开发框架的版本说明请参见:https://github.com/huaweicloud/spring-cloud-huawei/releases。 Java Chassis 2.7.10及以上 可以直接使用开源项目提供的软件包接入,不需要引用其他第三方软件包。 Java Chassis微服务开发框架的版本说明请参见:https://github.com/apache/servicecomb-java-chassis/releases。 系统升级、改造过程中,三方软件冲突是最常见的问题。随着软件迭代速度越来越快,传统的软件兼容性管理策略已经不适应软件的发展,您可以参考三方软件版本管理策略来解决版本冲突。
  • Spring-cloud-huawei、Servicecomb及Sermant功能对比 一级特性 二级特性 serviccomb-java-chassis spring-cloud-huawei sermant agent 备注 微服务网关 服务端限流 √ √ √ - 服务端隔离仓 √ √ √ - 客户端熔断 × √ × - 客户端容错 × √ × - 客户端降级 × × × - 客户端故障注入 × × × - 负载均衡策略 √ √ × - 灰度发布 × √ √ - 优雅停机 √ √ × - 微服务治理 优雅上下线 √ √ √ - 无损升级 √ √ √ - 服务端限流 √ √ √ - 客户端容错 √ √ √ - 客户熔断 √ √ √ - 客户端降级 √ √ √ - 服务端隔离仓 √ √ √ - 客户端隔离仓 √ √ √ - 负载均衡策略 √ √ √ - 灰度发布 √ √ √ - 全链路日志追踪 √ √ × - 服务治理状态上传 √ √ × - 快速失败 √ √ × - 故障注入 √ × √ - 黑白名单 √ √ × - 注册发现 本地注册发现 √ √ × - 单注册-CSE √ √ √ - 单注册-ServiceCenter √ √ √ - 双注册 × × √ 双注册指同时注册到两个注册中心,当前sermant支持同时注册到cse和宿主原生注册中心。 配置中心支持 servicecomb引擎 √ √ √ 可基于配置中心下发配置, 例如服务治理规则、业务配置。 Nacos引擎 √ √ √ servicecomb-kie √ √ √ zookeeper × × √ 轻量化配置中心(zero-config) √ × × apollo × × × 安全特性 安全认证 √ √ × 服务实例与注册中心以及消费端与生产端之间的认证。 开发 多协议支持 √ × × JavaChassis针对消费与生产端支持多种通信协议,如下: 生产端:JAX-RS、SpringMVC、透明RPC。 消费端:透明RPC、RestTemplate、InvokerUtils。 拓展 支持用户自定义处理链处理流量。 支持用户扩展流量治理。 支持Spring Cloud原生扩展。 支持用户扩展流量治理。 基于插件开发模式新增能力。 -
  • Nacos引擎与微服务框架版本关系 CSE Nacos引擎版本 Spring Cloud Alibaba版本 Spring Cloud版本 Spring Boot版本 2.1.0.x 2022.0.0.0-RC* Spring Cloud 2022.0.0 3.0.0 2021.0.4.0* Spring Cloud 2021.0.4 2.6.11 2021.0.1.0 Spring Cloud 2021.0.1 2.6.3 2021.1 Spring Cloud 2020.0.1 2.4.2 2.2.10-RC1* Spring Cloud Hoxton.SR12 2.3.12.RELEASE 2.2.9.RELEASE Spring Cloud Hoxton.SR12 2.3.12.RELEASE 2.2.8.RELEASE Spring Cloud Hoxton.SR12 2.3.12.RELEASE 2.2.7.RELEASE Spring Cloud Hoxton.SR12 2.3.12.RELEASE 2.2.6.RELEASE Spring Cloud Hoxton.SR9 2.3.2.RELEASE 2.2.1.RELEASE Spring Cloud Hoxton.SR3 2.2.5.RELEASE 2.2.0.RELEASE Spring Cloud Hoxton.RELEASE 2.2.X.RELEASE 2.1.4.RELEASE Spring Cloud Greenwich.SR6 2.1.13.RELEASE 2.1.2.RELEASE Spring Cloud Greenwich 2.1.X.RELEASE 2.0.4.RELEASE(停止维护,建议升级) Spring Cloud Finchley 2.0.X.RELEASE 1.5.1.RELEASE(停止维护,建议升级) Spring Cloud Edgware 1.5.X.RELEASE
  • Nacos引擎版本兼容性说明 CSE Nacos引擎版本 兼容Nacos社区版本 兼容性 2.1.0.x 2.1.0 100% CSE Nacos引擎很好地兼容社区Nacos 2.1.0及其以下版本,且向下兼容。例如:微服务使用开源Nacos 1.x.x版本,也可以使用CSE Nacos引擎。 配置中心兼容Nacos 1.0起所有的客户端版本,服务发现兼容Nacos 1.2起的所有客户端版本, 因此建议使用Nacos 1.2.0之后客户端版本。 Nacos 2.x.x版本新增了长连接功能,需要使用长连接能力请升级至2.x.x版本。 Nacos 2.1.0版本后,默认关闭了双写能力,因此无法支持从Nacos 1.x版本平滑升级到2.1.0+的能力,如需要使用平滑升级能力,从Nacos 1.x直接升级到Nacos 2.1.0+版本,需要在application.properties文件中配置参数nacos.core.support.upgrade.from.1x=true。
  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • 与其他服务的关系 云原生架构模式下,完成业务功能需要很多服务相互配合: CSE一般和数据库、缓存和消息中间件同时使用,完成业务功能的开发。 AOM APM 、LTS等工具,则为业务提供运维能力,帮助检测业务故障、分析故障原因。 以Spring Cloud为例,典型的云原生架构和技术选型如下: 云原生架构和DevOps通常是密不可分的,配合使用ServiceStage,可以实现云原生环境的管理、部署流水线,简化微服务应用部署到容器CCE的流程。
  • 上传SSL证书时可能有哪些报错,如何解决? 您可以将您所拥有的SSL证书(已在其他平台购买并签发的SSL证书)上传到 云证书管理 平台,以便在云证书管理平台对您的证书进行统一管理。关于上传证书具体的操作步骤,请参考上传已有SSL证书。 本章节为您介绍上传证书过程中可能出现的报错提示及如何解决报错。 表1 证书上传报错 报错类型 错误码 报错信息详情 解决措施 解析证书链报错 SCM.0053 证书格式错误,应该以特定的字符串开头或结尾 证书格式错误,要以-----BEGIN CERTIFICATE-----开头和以-----END CERTIFICATE-----结尾。 SCM.0054 证书内容缺失 证书前后缀之间内容有缺失,需要补充前后缀之间的内容。 检查证书链报错 SCM.0079 CaCert的主题与证书的签发者不匹配 确保证书链中的证书签发关系正确,证书链的顺序为用户证书到底层CA。 例如:证书链现有两个证书:签发证书A、被签发证书B,需要确保证书A的subjectDN和证书B的issuerDN一致。 SCM.0109 证书链长度必须大于1 请上传长度大于1的证书链。 国际标准SSL证书上传报错 SCM.0012 上传私钥解析不正确,请确保填写已签发证书 请检查您的私钥内容,需上传正确的私钥。 SCM.0114 私钥格式错误,应该以特定字符串开头或结尾 检查私钥格式,需要以*开头和以*结尾。 SCM.0115 私钥不是Base64编码 检查私钥格式,需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 国密证书上传报错 SCM.0059 国密私钥为空 请输入正确的国密私钥。 SCM.0115 私钥不是Base64编码 检查私钥格式,需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 SCM.0114 私钥格式错误,应该以特定字符串开头或结尾 检查私钥格式,需要以*开头和以*结尾。 SCM.0012 国密私钥解析失败 请输入正确的私钥内容。 SCM.0118 国密证书长度必须为1 国密证书-加密证书链长度必须为1。 SCM.0055 证书内容不是Base64编码 请检查证书内容,需要为Base64编码。 SCM.0058 生成X509证书失败 请输入正确的证书内容。 SCM.0119 写入加密证书或私钥内容失败 请输入正确的加密证书或私钥内容。 SCM.0117 写入私钥或证书内容失败 请输入正确的证书或私钥内容。 父主题: SSL证书应用类
  • 一键部署SSL证书至云产品和手动部署SSL证书至云产品的区别是什么? 在华为云购买申请的SSL证书支持一键部署到WAF、ELB和CDN产品,部署成功后,可以帮助您提升云产品访问数据的安全性,具体操作请参见部署证书。 本章节将介绍一键部署SSL证书至云产品和手动导入证书至云产品的区别。 表1 一键部署和手动部署的区别 区别项 一键部署 手动部署 操作难度 操作便捷 可在 云证书管理服务 SSL证书管理控制台一键部署。 操作步骤较复杂 需要去对应云产品控制台手动上传,不排除手动操作期间会出现证书链不完整等需要人为处理的问题。 安全性 安全性高 一键部署过程中私钥不会经过人为手动操作,避免了私钥泄露的风险。 安全性一般 私钥会经过人为手动操作。 是否收费 是 第三方上传证书和2023年11月15日之后创建并签发的测试证书部署到 华为云产品 需要收费,价格为30元/次,详情请参见证书部署服务是如何收费的?。 否 手动部署证书至云产品不收费。 父主题: SSL证书应用类
  • DV证书DNS验证失败该如何处理? DV证书通过云证书管理控制台“验证”功能校验DNS解析结果时,验证失败,请参照下表提示进行排查处理后重新验证: 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。 父主题: 验证域名所有权
  • 私有证书签发后,能否停用私有CA? 您可以根据实际情况选择以下方法停用私有CA的部分功能或者停用私有CA: 如果您不再需要使用某个私有CA来签发证书,但需要保留其吊销证书和签发证书吊销列表的功能,您可以禁用该私有CA。禁用私有CA后,其下所有证书使用不受影响。禁用私有CA详细操作请参见禁用私有CA。 私有CA禁用期间也将持续计费。 如果您不再需要使用某个私有CA,您可以删除该私有CA。删除私有CA后,将不再计费,其下已经导出的证书(未被吊销)仍可使用,但该私有CA下的所有证书都将无法执行“吊销”操作,无法再更新证书吊销列表,并且该私有CA和其子CA下所有私有证书将无法执行“导出”操作。删除私有CA详细操作请参见计划删除私有CA。 父主题: 私有证书使用类
  • SSL证书部署失败怎么办? 证书管理支持将上传的证书和通过SCM签发的证书一键部署到弹性负载均衡(Elastic Load Balance,ELB)、 Web应用防火墙 (Web Application Firewall,WAF)、CDN(Content Delivery Network,内容分发网络)等其它华为云产品中。但是以下情况会导致部署失败: 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书不支持部署到云产品。 解决方法: 先将证书下载到本地,然后再到对应的云产品控制台上传数字证书并进行部署。 没有购买对应的云产品,或数字证书所绑定的域名没有在对应的云产品中开通服务,部署将可能导致部署失败。 解决方法: 没有购买对应的云产品或在对应的云产品中开通服务 如果您已将证书部署或者上传到对应的云产品中,即目标证书在对应的云产品中已存在,再次通过SCM平台部署时,将会部署失败。 解决方法: 查看是否已部署,如果SSL已部署则无需再次部署。 父主题: SSL证书应用类
  • 如何去除私钥密码保护 如果您的密钥已经加载密码保护,可以通过OpenSSL工具运行以下命令去掉密码保护: openssl rsa -in encryedprivate.key -out unencryed.key 其中,“encryedprivate.key”是带密码保护的私钥文件;“unencryed.key”是去掉了密码保护的私钥文件,扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥,当需要将该证书部署给CDN时,需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的,即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式,则需要使用工具转换证书的格式。具体转换方式,请参考主流数字证书有哪些格式?。
  • 什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件,如果私钥文件是如下样式,则说明您的私钥是已加载密码保护的: PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY----- ......BASE64 私钥内容...... -----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容...... -----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的,您可以转换成无密码的密钥文件。关于具体转换方式,请参考主流数字证书有哪些格式?。
  • 哪些网站必须启用HTTPS加密? 在越来越重视信息安全的今天,HTTPS协议站点无疑已经成为主流。就目前形势而言,以下网站必须启用HTTPS协议加密: 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看,HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型,启用HTTPS协议加密既是网站安全的必然需要,也是公司发展的提前布局。 父主题: 证书咨询
  • 域名的相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如:“*.a.com”是正确的泛域名,但“*.*.a.com”则是不正确的。 一个泛域名算一个域名。关于泛域名的匹配关系,请参考泛域名证书支持哪些域名?。 普通域名 普通域名是相对泛域名来说的,是一个具体的域名或者说不是通配符域名。 例如:“www.a.com”或“a.com”都算一个普通域名。 普通域名能绑定的数量,取决于您证书订单中选择的域名个数。 如“buy.example.com”或“next.buy.example.com”各个明细子域名都算一个域名。 域名级别 域名由一或多个部分组成,这些部分通常连接在一起,并由点分隔,例如www.huaweicloud.com。最右边的一个标签是顶级域名,一个域名的层次结构,从右侧到左侧隔一个点依次下降一层。 域名的第一级是顶级域名,顶级域名下一层是二级域名,一级一级地往下。域名层次结构具体划分情况如表1所示。 表1 域名层级结构 参数名称 参数说明 顶级域名 域名中最高的一级,每个域名都以顶级域结尾。它包括通用顶级域(例如.com、.net、.org等)、国际和地区顶级域(例如.us、.cn、.tk等)和新通用顶级域名(例如.info、.biz等)。 二级域名 顶级域名下面是二级域名,它位于顶级域名的左侧。例如,在example.com中,example是二级域名。 三级域名 二级域名下面是三级域名,它位于二级域的左侧。例如,在www.example.com中,www是三级域名。 以此类推,在上一级域名最左侧进行域名级别的拓展。 以abc.huaweicloud.com为例,进行域名层次结构说明: .com为顶级域名。 huaweicloud.com为1个二级域名。 abc.huaweicloud.com为1个三级域名。 父主题: 域名填写类
  • 步骤四:查看域名验证是否生效 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。 根据不同的记录类型,选择执行表 验证命令所示命令,查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图4所示,说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值,显示为“Non-existent domain”,说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长,生效时间还未到,因此无法查询到数据。 请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如下图所示。 如配置的生效时间未到,请等时间到了后再进行验证。 图7 生效时间
  • DV证书DNS验证失败如何处理? 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。
共100000条