华为云用户手册

操作场景 当您的账号由华为云Organizations管理时，您可以利用此优势更轻松地共享资源。如果您的账号在组织中，则您可以与单个账号共享，也可以与整个组织或OU中的所有账号共享，而不必枚举每个账号。 要在组织内共享资源，您还需先使用 RAM 控制台来启用与组织共享资源。当您在组织中共享资源时，您组织中的账号无需接受邀请即可访问和使用共享资源。 如果您不再需要与整个组织或OU共享资源，您可以禁用与组织共享资源，该功能禁用后，创建共享时指定的使用者将无法选择组织。 仅组织管理员才可启用或禁用与组织共享功能，其他角色无权操作。 在启用与组织共享资源期间，如果组织的成员账号主动退出组织或被管理员移出组织，该成员账号创建的资源共享实例中将解绑同组织的资源使用者；组织中共享给此成员账号的资源共享实例中将解绑此成员账号。 在启用与组织共享资源期间，如果组织管理员删除某个OU，则共享给此OU的资源共享实例中将解绑此OU。 在启用与组织共享资源期间，如果删除整个组织，则与组织共享的资源共享实例中将解绑组织内的全部账号。

操作场景 要访问共享资源，资源所有者必须将您指定为共享资源的使用者。 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，则您将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，则您将收到加入资源共享实例的邀请。 如果您收到加入资源共享实例的邀请，则必须接受该邀请才能访问其共享的资源。这些资源可直接在每个资源的管理控制台上使用。如果您拒绝资源共享实例的邀请，您将无法访问此共享资源。 资源共享实例的邀请默认保留7天，如果您在到期前未接受邀请，系统会自动拒绝邀请，如您还需使用共享资源，请再次创建共享实例以生成新的邀请。

前提条件 给用户组授权之前，请您了解用户组可以添加的RAM权限，并结合实际需求进行选择，RAM支持的系统权限如表1所示。若您需要对除RAM之外的其他服务授权， IAM 支持服务的所有权限请参见系统权限。 表1 RAM系统权限 权限名称 描述 RAM FullAccess 资源访问管理 服务所有权限。 RAM ReadOnlyAccess 资源访问管理服务只读权限。 RAM ResourceShareParticipantAccess 资源访问管理服务资源共享邀请的处理权限。

支持审计的关键操作列表 表1 云审计 服务支持的RAM操作列表 操作名称 资源类型 事件名称 创建资源共享实例 ResourceShare createResourceShare 删除资源共享实例 ResourceShare deleteResourceShare 更新资源共享实例 ResourceShare updateResourceShare 为资源共享实例中包含的资源类型添加或替换RAM权限 ResourceShare associateResourceSharePermission 取消资源共享实例关联的RAM权限 ResourceShare disassociateResourceSharePermission 向资源共享实例增加角色和资源 ResourceShare associateResourceShare 取消角色和资源与资源共享实例的关联 ResourceShare disassociateResourceShare 接受资源共享实例的邀请 ResourceShare acceptResourceShareInvitation 拒绝资源共享实例的邀请 ResourceShare rejectResourceShareInvitation 开启与组织的共享 ResourceShare enableShareWithOrganization 关闭与组织的共享 ResourceShare disableShareWithOrganization 资源共享实例添加标签 ResourceShare tagResource 资源共享实例删除标签 ResourceShare untagResource

RAM自定义策略样例 示例1：授权用户可以接受共享邀请 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "ram:resourceShareInvitations:accept", ], "Resource": "*" } ]} 示例2：授权用户可查看权限列表和内容 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "ram:permissions:list", "ram:permissions:get", ], "Resource": "*" } ]}

PCA支持云审计的操作列表 云审计服务记录私有证书管理相关的操作事件，如表1所示。 表1 云审计服务支持的PCA操作列表 操作名称 资源类型 事件名称 创建CA CA createCertificateAuthority 激活CA CA generateCertificateAuthority 导出CA CA exportCertificateAuthority 恢复CA CA restoreCertificateAuthority 启用CA CA enableCertificateAuthority 禁用CA CA disableCertificateAuthority 删除CA CA deleteCertificateAuthority 申请证书 endEntityCert createCertificate 删除证书 endEntityCert deleteCertificate 吊销证书 endEntityCert revokeCertificate 父主题： PCA关键操作审计管理

私有证书申请概述 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任，在Internet上不受信任。如需使用在Internet上受信任的证书，请购买SSL证书，具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示，流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 购买私有CA 根据需要购买私有CA。 2 激活私有CA 购买私有CA实例后，需要激活才能用于签发证书。 您可以选择激活已购买的私有CA实例为根CA或子CA。激活后私有CA正式生效，并且可用于签发私有证书。 3 申请私有证书 通过已激活的私有CA，申请私有证书。 4 下载私有证书 申请完成后，即可下载私有证书并在服务器上安装使用。

私有CA所有者和接受者权限说明 所有者可以对私有CA执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 私有CA接受者支持的操作列表所示。 表1 私有CA接受者支持的操作列表 角色 支持的操作 操作说明 接受者 pca:ca:export 通过控制台或API进行访问 pca:ca:get 通过控制台或API进行访问 pca:ca:listTags 通过控制台或API进行访问 pca:ca:issueCert 通过控制台或API进行访问 pca:ca:issueCertByCsr 通过控制台或API进行访问 pca:ca:revokeCert 通过控制台或API进行访问

效果验证 部署成功后，可在浏览器的地址栏中输入“https:// 域名 ”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个域名有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

步骤二：配置Weblogic 登录Weblogic服务器管理控制台。 单击页面左上方“Lock & Edit”，解锁配置。 在“Domain Configurations”中，单击“Servers”。 图1 服务器 在服务器列表中，选择您需要配置服务器证书的Server，进入服务器的设置页面。 图2 目标服务器 修改HTTPS端口。 在服务器的配置页面，选择“General”页签，配置是否启用HTTP和HTTPS，以及访问端口号。 请勾选“Listen SSL Port Enabled”，并修改端口号为“443”。 图3 端口 配置认证方式和密钥。 在服务器的配置页面，选择“Keystores”页签，配置认证方式。 图4 认证方式 服务器身份认证请选择“Custom identity and Java Standard Trust”。 双向认证请选择“Custom Identity and Custom Trust”。 在“Identity”区域中，配置密钥。 配置密钥库文件server.jks所保存的服务器上的路径，并填写密钥库文件密码。 图5 密钥 Custom Identity Keystore：请填写jks文件保存路径。示例：C:\bea\server.jks Custom Identity Keystore Type：文件格式请填写“jks”。 Custom Identity Keystore Passphrase：请填在证书密码，即“keystorePass.txt”中的密码。 Confirm Custom Identity Keystore Passphrase：请再次填写证书密码。 在单向认证中，需要配置JRE默认信任库文件cacerts。 Cacerts默认密码为changeit。 图6 信任库文件 Java Standard Trust Keystore Passphrase：输入默认密码changeit。 Confirm Java Standard Trust Keystore Passphrase：再次输入默认密码。 配置服务器证书私钥别名。 在服务器的配置页面，选择“SSL”页签，配置以下参数： 图7 私钥 Identity and Trust Locations：请选择为“Keystores”。 Private KeyAlias：配置私钥库中的私钥别名信息。私钥别名可以使用keystool -list命令查看。 Private Key Passphrase：输入私钥保护密码。通常私钥保护密码和keystore文件保护密码相同。 Confirm Private Key Passphrase：再次输入私钥保护密码。 设置完成后，单击“Active Changes”，保存所有修改。 图8 保存配置 （可选）如果系统提示需要重启Weblogic，则需要重启后才能使配置生效。如图9所示，则无需重启。 图9 提示信息

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个域名有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

步骤二：配置IIS 安装IIS，请参照IIS相关安装指导进行安装。 打开IIS管理控制台，双击“服务器证书”，如图1所示。 图1 服务器证书 在弹出的窗口中，单击“导入”，如图2所示。 图2 导入 导入“server.pfx”证书文件，单击“确定”。 “密码”配置框内需要输入“keystorePass.txt”文件内的密码。 图3 导入pfx证书文件 鼠标右键单击目标站点（这里以默认站点为例），选择“编辑绑定”，如图4所示。 图4 编辑绑定 在弹出的窗口中，单击“添加”，并填写以下信息。 图5 添加网站绑定 类型：选择“https”。 端口：保持默认的“443”端口即可。 SSL证书：选择4导入的证书。 填写完成后，单击“确定”。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一：获取文件 在本地解压已下载的证书文件。 获得证书文件“ca.crt”、“server.crt”和私钥文件“server.key”。 “ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的域名。 找到并修改如下参数： ServerName www.example.com:443 完整配置如下（以“www.domain.com”为例）： ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数： SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 完整配置如下： SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数： SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径，且路径中不能包含中文字符，例如“cert/server.key”。 完整配置如下： SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数： #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”，并设置为“ca.crt”文件的路径，且路径中不能包含中文字符，例如“cert/ca.crt”。 完整配置如下： SSLCertificateChainFile "cert/ca.crt" 修改后，保存“ssl.conf”文件并退出编辑。

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个域名有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

示例流程 图1 给用户授权PCA权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予私有证书管理服务管理员权限“PCA FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择 云证书管理服务 ，如果未提示权限不足，表示“PCA FullAccess”已生效。

PCA自定义策略样例 示例1：授权用户创建CA { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:create ], "Effect": "Allow" } ]} 示例2：拒绝用户删除证书 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“PCA FullAccess”的系统策略，但不希望用户拥有“PCA FullAccess”中定义的删除证书权限，您可以创建一条拒绝删除证书的自定义策略，然后同时将“PCA FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "pca:ca:delete" ], "Effect": "Deny" } ]}

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置Nginx中“conf”目录下的“nginx.conf”文件。 找到如下配置内容： #server {# listen 443 ssl;# server_name localhost;# ssl_certificate cert.pem;# ssl_certificate_key cert.key;# ssl_session_cache shared:SSL:1m;# ssl_session_timeout 5m;# ssl_ciphers HIGH:!aNULL:!MD5;# ssl_prefer_server_ciphers on;# location / {# root html;# index index.html index.htm;# }#} 删除行首的配置语句注释符号#。 server { listen 443 ssl; server_name localhost; ssl_certificate cert.pem; ssl_certificate_key cert.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } 修改如下参数，具体参数修改说明如表1所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下，其余参数根据实际情况修改： server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name www.domain.com; #修改为您证书绑定的域名。 ssl_certificate cert/server.crt; #替换成您的证书文件的路径。 ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径，且路径中不能包含中文字符，例如“cert/server.key”。 修改完成后保存配置文件。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

约束条件 证书安装前，务必在安装私有证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。 为了使客户端信任服务器证书，需要将服务器证书的根CA加入到客户端受信任的根证书颁发机构中，详细操作请参见信任根CA。 如果一个域名有多个服务器，则每一个服务器上都要部署。 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即申请的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

步骤一：获取文件 在本地解压已下载的证书文件。 获得证书文件“server.crt”和私钥文件“server.key”。 “server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

下载的证书文件说明 根据申请私有证书时，选择的“证书请求文件”方式（“系统生成文件”和“自己生成文件”）的不同，下载文件也有所不同。 系统生成文件 申请私有证书时，如果“证书请求文件”选择的是“系统生成文件”，则下载文件说明如表2所示。 表2 下载文件说明（一） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat keystorePass.txt：证书密码。 server.jks：证书文件。 Nginx server.crt：证书文件，分别为服务器证书和证书链。 server.key：证书私钥文件。 Apache chain.crt：证书链文件。 server.crt：证书文件。 server.key：证书私钥文件。 IIS keystorePass.txt：证书密码。 server.pfx：证书文件。 其他 chain.pem：证书链文件。 server.key：证书私钥文件。 server.pem：证书文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥 encCert.pem：加密证书文件 signCert.key：签名证书私钥文件 signCert.pem：签名证书文件 自己生成文件 申请私有证书时，如果“证书请求文件”选择的是“自己生成文件”，则下载文件说明如表3所示。 表3 下载文件说明（二） 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat server.crt：证书文件。 chain.crt：证书链文件。 Nginx server.crt：证书文件 Apache server.crt：证书文件。 chain.crt：证书链文件。 IIS server.crt：证书文件。 chain.crt：证书链文件。 其他 cert.pem：证书文件。 chain.pem：证书链文件。 国密SM2证书 其他 是否导出国密GMT 0009-2012标准规范的SM2数字信封： 是，zip压缩包中包含的文件为： chain.pem ：证书链文件 encSm2EnvelopedKey.key ：国密SM2数字信封 encCert.pem：加密证书文件 signCert.pem：签名证书文件 否，zip压缩包中包含的文件为： chain.pem ：证书链文件 encCert.key ：加密证书私钥文件 encCert.pem：加密证书文件 signCert.pem：签名证书文件

私有证书安装说明 私有证书下载后需要安装到服务器上进行使用，非国密证书的安装操作与国际标准SSL证书安装操作相同，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 若需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个私有CA或私有证书最多可以添加20个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 如您的组织已经设定 云证书管理 服务的相关标签策略，则需按照标签策略规则为私有CA或私有证书添加标签。标签如果不符合标签策略的规则，则可能会导致标签添加失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个私有CA或私有证书，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“/”、“=”、“+”、 cost 标签值 可以为空。 长度不超过255个字符。 首尾不能包含空格。 可以包含以下字符： 中文 英文 数字 空格 特殊字符 “_”、“.”、“：”、“/”、“=”、“+”、“-”、“@” 100

步骤二：配置Resin 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 （可选）安装Resin。 如果已安装，则请跳过该步骤。 登录Resin官网并根据您的系统下载不同的应用程序包。 本步骤以下载Windows版本的Resin-4.0.38版本为例进行说明。 解压下载的Resin包。 进入Resin-4.0.38根目录并找到resin.exe文件。 运行resin.exe文件，运行期间将出现如图1所示的命令提示符窗口。 图1 提示窗口 运行完成后，启动浏览器，在Web地址栏中输入Resin默认地址“http://127.0.0.1:8080”，并按“Enter”。 当界面显示如图2所示时，则表示安装成功。 图2 登录Resin 修改配置文件。 在Resin安装目录下的“Resin.properties”配置文件（由于Resin版本的不同，配置文件也可能为“resin.xml”文件）中，找到如下参数： # specifies the --server in the config file# home_server : app-0# Set HTTP and HTTPS bind address# http_address : *# Set HTTP and HTTPS ports.# Use overrides for individual server control, for example: app-0.http : 8081app.http : 8080# app.https : 8443web.http : 8080# web.https : 8443 将“app.https”和“web.https”前的注释符“#”去掉，并将“8443端”口修改为“443”。修改后，如下所示： “app.https”、“web.https”：指定服务器要使用的端口号，建议配置为“443”。 # specifies the --server in the config file# home_server : app-0# Set HTTP and HTTPS bind address# http_address : *# Set HTTP and HTTPS ports.# Use overrides for individual server control, for example: app-0.http : 8081app.http : 8080app.https : 443web.http : 8080web.https : 443 找到如下参数，并将“jsse_keystore_tye”、“jsse_keystore_file”和“jsse_keystore_password”三行前的注释符“#”去掉。 # JSSE certificate configuration# Keys are typically stored in the resin configuration directory.jsse_keystore_tye : jksjsse_keystore_file : cert/server.jksjsse_keystore_password : 证书密码 修改证书相关配置参数，具体配置请参见表1。 # JSSE certificate configuration# Keys are typically stored in the resin configuration directory.jsse_keystore_tye : jksjsse_keystore_file : cert/server.jksjsse_keystore_password : 证书密码 表1 参数说明 参数 参数说明 jsse_keystore_tye 设定Keystore文件的类型，一般都设为jks jsse_keystore_file “server.jks”文件存放路径，绝对路径和相对路径均可。示例：cert/server.jks jsse_keystore_password “server.jks”的密码。填写“keystorePass.txt”文件内的密码。 须知： 如果密码中包含“&”，请将其替换成“&”，以免配置不成功。 示例： 如果keystorePass="Ix6&APWgcHf72DMu"，则修改为keystorePass="Ix6&APWgcHf72DMu"。 修改完成后保存配置文件。 重启Resin。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。