华为云用户手册

概述 欢迎使用Flexus 企业搜索 服务。Flexus企业搜索服务基于业界效果突出的搜索模型、 云搜索服务 的高性能 GaussDB 向量数据库以及LLM模型组成行业RAG解决方案，导入非结构化或者结构化业务数据，帮助企业客户快速一站式搭建企业智能问答应用。搜索增强大模型，数据来源于搜索，解决大模型幻觉问题，生成的问答结果更可靠、安全。为您提供托管的分布式搜索引擎服务+大模型生成能力。 本文档提供了Flexus企业搜索服务API的描述、语法、参数说明及样例等内容。

API概览 Koosearch提供的接口为符合RESTful API设计规范的自研接口。通过Koosearch的自研接口，您可以使用Koosearch的表1 接口说明所示的功能。 表1 接口说明 类型 说明 知识库管理接口 知识库管理等相关接口。 结构化数据接口 将结构化数据文件纳入系统进行管理接口。 文件管理接口 用户纳入系统的文档管理接口。 FAQ管理接口 用户自定义的FAQ相关管理接口。 FAQ批量管理接口 用户自定义的批量FAQ相关管理接口。 搜索与问答接口 Koosearch的搜索与模型问答接口。 对话历史接口 用户对话历史接口。 图片管理接口 图片管理相关接口。 模型管理接口 模型管理的相关接口。 用户的文档解析规则定义接口 用户文档解析自定义规则配置接口。 表2 知识库管理接口 API 说明 创建知识库 创建名称为xxx的知识库。 修改知识库配置 修改知识库配置。包括： 解析设置：是否使用OCR增强、是否需要解析图片、是否需要解析页眉页脚、是否需要解析目录页。 文档拆分设置： 自动分段 长度分段（按文本长度分段） 层级分段（按小标题分段，可自定义小标题解析规则 搜索模型设置：rerank模型配置。 NLP模型设置。 其他设置：召回数量、参考文档数量、精排开关、Query改写开关、意图分类。 设置知识库搜索问答prompt 设置知识库搜索问答prompt，该prompt包括参考文档占位符{0}和搜索query占位符{1}。可以根据不同的使用场景，配置不同的prompt，例如增加人设、限定条件、答案格式要求等，帮助模型生成更优的结果。 设置通用问答prompt 设置通用问答prompt。该prompt包含问题占位符{0}，和对回答的要求。 开启知识库 根据ID开启知识库，知识库开启后为可检索状态。 关闭知识库 根据ID关闭知识库，知识库关闭后为不可检索状态。 获取知识库列表 获取当前账号下所有知识库列表。包括知识库ID、知识库名称、知识库状态、创建人、创建时间、更新时间等。 查询知识库详情 根据知识库ID获取当前知识库下的所有文件list，包括文档名称、文档类型、文档大小、文档状态、创建人、创建时间等。 删除知识库 根据ID删除知识库。 表3 结构化数据接口 API 说明 结构化数据上传 将结构化数据文件上传到 对象存储服务 OBS中进行结构化数据批处理功能。 结构化数据文件搜索 根据文件名搜索目标文件。 表4 文件管理接口 API 说明 上传文件 上传文件至某个知识库。 查询文件 在当前知识库查询名称为xx的文件。 下载文件 下载指定ID的文件。 删除文件 删除指定ID的文件。 表5 FAQ管理接口 API 说明 创建FAQ 输入问题、相似问题、答案，创建单条FAQ。 更新FAQ 更新指定ID的FAQ的问题、答案、相似问题。 获取FAQ 根据ID获取FAQ详情，包括问题、答案。 查询FAQ列表 获取FAQ列表，包括ID、问题、答案、创建人、创建时间等。可以根据问题关键字过滤出需要查看的FAQ。 删除FAQ 根据知识库ID和FAQ的ID，删除FAQ。 批量删除FAQ 选择多个需要删除的FAQ，根据ID批量删除。 表6 FAQ批量管理接口 API 说明 批量FAQ上传 上传xlsx/xls文件，用于FAQ的批量导入。 下载上传失败的FAQ 下载给定上传的批量FAQ文件中，上传失败的条目。 列举批量上传faq文件 列举批量上传faq文件。 下载批量导入FAQ原文件 下载批量导入FAQ的原始文件。 删除批量导入FAQ文件 删除指定的FAQ文件。 表7 搜索与问答接口 API 说明 搜索知识库 根据query，在指定知识库中搜索得到topN相关的结果。 生成答案 将content输入给模型，使用模型能力生成答案。 表8 对话历史接口 API 说明 查询对话历史列表 查询历史问题列表。包含对话ID、对话问题、用户名、对话开始时间。 获取对话历史 根据chat_id获取对话历史，返回历史的question和answer数据。 删除对话历史 根据指定ID，删除对应的对话历史。 批量删除对话历史 根据多个ID，批量删除对话历史信息。 表9 图片管理接口 API 说明 上传图片 上传图片入库。 获取图片内容 根据ID获取图片内容。 表10 模型管理接口 API 说明 新增模型 新增配置模型，包括模型名称、模型描述、模型endpoint、模型配置。 修改模型配置 修改模型。 列举模型 列举模型。 删除模型 删除模型。 表11 用户的文档解析规则定义接口 API 说明 创建用户解析规则 列用于创建用户自定义的解析规则，解析规则用于解析需要作为subtitle的文本，规则由上而下依次校验。 修改用户解析规则 用于修改已配置的解析规则。 列举用户规则列表 列举用户配置的所有解析规则列表。 删除用户定义规则解析接口 用于删除用户定义的某种规则。

响应参数 状态码： 400 表3 响应Body参数 参数 参数类型 描述 [数组元素] Array of ErrorRsp objects 请求错误 表4 ErrorRsp 参数 参数类型 描述 error_code String 错误码 最小长度：8 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 状态码： 404 表5 响应Body参数 参数 参数类型 描述 [数组元素] Array of ErrorRsp objects 图片不存在 表6 ErrorRsp 参数 参数类型 描述 error_code String 错误码 最小长度：8 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 状态码： 500 表7 响应Body参数 参数 参数类型 描述 [数组元素] Array of ErrorRsp objects 内部异常 表8 ErrorRsp 参数 参数类型 描述 error_code String 错误码 最小长度：8 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/fileauth.txt”或“http://yourdomain/.well-known/pki-validation/fileauth.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的 域名 。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/fileauth.txt或http://example.com/.well-known/pki-validation/fileauth.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/fileauth.txt或http://domain.com/.well-known/pki-validation/fileauth.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查定位类

购买或续费选择的多年期证书，为什么新证书的有效期只有1年？ 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长只有1年。 华为云 云证书管理服务 提供的多年有效期的SSL证书是一次购买多年SSL证书的解决方案，多年有效期SSL证书实际为多张有效期为1年的SSL证书依次生效。 例如：您购买或续费的有效期为“2年”的证书，实际包含2张有效期为1年且规格相同的证书，在第一张证书1年有效期到期前30天，系统会自动以您第一张证书的信息为您申请第二张证书，申请第二张证书时，需要您配合CA机构完成域名验证或组织验证，以及证书签发后，需要您手动将第二张证书安装到您的Web服务器或部署到 华为云产品 ，替换旧证书。届时，您需要及时处理新证书的后续验证流程以及旧证书替换操作，以避免上一张证书已过期，第二张证书未生效，导致让您的网站处于不安全的状态。 为了避免多年期证书自动申请失败，请勿取消隐私授权。 父主题： 证书有效期

如何在服务器上安装SSL证书 SSL证书签发后，即可下载并安装Web服务器，在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书，您可以参考表1。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 由于服务器系统版本或服务器环境配置不同，在安装SSL证书过程中使用的命令或修改的配置文件信息可能会略有不同， 云证书管理 服务提供的安装证书示例，仅供参考，请以您的实际情况为准。 如果参考文档安装证书后，HTTPS仍然不生效或遇到其他问题，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师为您排查具体问题。

如何选择域名类型 购买SSL证书时，需要根据您的域名类型，选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表2 域名类型 参数名称 参数说明 单域名 单域名类型证书。 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 多域名类型证书 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 须知： GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 如果您有 多个域名 ，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名（通配符域名） 泛域名类型证书，也叫通配符证书 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的泛域名证书，则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3。 如果您的域名未跨级别，则选择泛域名类型。 如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表3所示。 表3 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表4所示： 表4 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1”

如何选择证书品牌 目前云证书管理支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表1 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和 SSL数字证书 提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、Google、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 O CS P。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否 惠赠活动： 单域名：以域名www.a.com和根域名a.com为例进行说明 图1 单域名品牌惠赠活动 泛域名：以域名*.a.com和*.a.b.com为例进行说明 图2 泛域名品牌惠赠活动

如何选择证书类型 购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上类型的证书。 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版数字证书。

证书格式转换为PEM格式 表1 证书转换命令 格式类型 转换方式（通过OpenSSL工具进行转换） CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem

证书编码格式为PKCS8时 由于华为云WAF、ELB、CDN服务暂时不支持PKCS8编码格式，因此，当您将PKCS8编码格式的证书上传到SSL证书管理平台，再部署至WAF、ELB、CDN三个服务时，会报错。 如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头，则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头，则说明该证书是PKCS1编码格式。 当您的公钥或者私钥的编码格式是PKCS8格式时，需要执行如下操作，才能将PKCS8编码格式的证书成功地运用到WAF、ELB、CDN服务。 证书格式是否为PEM格式。 是，执行2。 否，参照证书格式转换为PEM格式将证书格式转换为PEM后，再执行2。 执行如下命令将PKCS8编码格式转换为PKCS1编码格式。 PKCS8格式私钥转换为PKCS1格式 openssl rsa -in pkcs8.pem -out pkcs1.pem PKCS8公钥转PKCS1公钥 openssl rsa -pubin -in public.pem -RSAPublicKey_out 将转换后的证书上传至SSL证书管理平台，详细的操作请参见上传证书。 再将证书部署到对应的华为云服务，详细的操作请参见部署证书到云产品。

私有证书的有效期是多久？ 设置有效期 私有证书的有效期根据您申请证书时所设置的有效期而定，如图1所示。具体操作请参见申请私有证书。 私有证书由处于激活状态的CA进行签发，所以，设置私有证书有效期时须满足：私有证书有效期 ≤ 签发的私有CA有效期。 图1 设置有效期 查看到期时间 私有证书申请成功后，您可以登录管理控制台，在私有证书列表页面查看证书到期时间，如图2所示。具体操作请参见查看私有证书详情。 图2 查看私有证书到期时间

为什么安装了SSL证书后，https访问速度变慢了？ 安装了SSL证书后，访问网站时，HTTPS比HTTP要多几次握手的时间，HTTPS协议握手阶段比较费时，同时还要进行RSA校验，因此使用了SSL证书后，相较于HTTP访问，访问速度变慢了。 另外，会增加服务器CPU的处理负担，因为要为每一个SSL链接实现加密和解密，但一般不会影响太大。 为了减轻服务器的负担，建议注意以下几点： 仅为需要加密的页面使用SSL，如“https://www.domain.com/login.asp”，不要把所有页面都使用“https://”，特别是访问量大的首页。 尽量不要在使用了SSL的页面上设计大块的图片文件或者其他大文件，尽量使用简洁的文字页面。 父主题： SSL证书问题排查类

替换或修改SSL证书绑定的域名 证书未签发 如果证书未签发，需要替换或修改当前证书绑定的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要替换或修改当前证书绑定的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持替换或修改证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

解绑SSL证书绑定的域名 证书未签发 如果证书未签发，需要解绑当前证书绑定的域名并绑定新的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要解绑当前证书绑定的域名并绑定新的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持解绑证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

增加SSL证书绑定的域名 如果您购买的是单域名类型的SSL证书： 需要重新购买证书。 如果您购买的是多域名类型的SSL证书： 该证书有可追加附加域名的额度，则可为该证书增加附加域名。具体操作请参见新增附加域名。 该证书没有可追加附加域名的额度，需要重新购买证书。 如果您购买的是泛域名类型的SSL证书： 如果需要增加的域名与证书绑定的域名在同一级别，则无需增加该域名，直接使用即可。 示例：证书绑定的域名为*.example.com，此次想要绑定test.example.com，则无需绑定，直接使用已有证书即可。 如果需要增加的域名与证书绑定的域名不在同一级别，则需要重新购买证书。 示例：证书绑定的域名为*.example.com，此次想要绑定abc.test.example.com，则需要重新购买证书来绑定该域名。

背景 SSL证书存在有效期限制，到期后将无法继续使用，所以如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 为了防止您的证书到期后给您的业务造成风险，CCM提供了以下到期提醒的方式： 控制台提醒方式，即上传的证书和已签发的证书到期前30天，SSL证书管理控制台会提示您有即将到期的证书。如图1所示。 图1 证书列表 消息提醒方式。在SSL证书管理服务中签发的证书和上传的证书支持证书到期前消息提醒功能，即在证书即将到期前两个月、一个月、一周、三天、一天及证书过期当天，系统将默认向证书申请人或配置的消息接收人发送证书到期提醒信息。如果您想增加或者修改 消息通知 接收人，可以参考配置消息接收人进行配置。

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

续费SSL证书后，还需要重新安装SSL证书吗？ 需要重新安装SSL证书。 CA机构签发的每张SSL证书有效期最长只有1年，SSL证书到期后就会失效。 SSL证书续费操作相当于重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。因此，您需要将续费签发的新证书安装到您的Web服务器或部署到您在使用中的华为云产品（WAF/ELB/CDN）替换已过期的旧证书。 在华为其他云产品部署证书操作详情请参考如何将SSL证书应用到华为云产品？ 在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 父主题： 计费、续费与退订

已签发或已上传的SSL证书，为什么在WAF、ELB、CDN等云产品的配置中，找不到新的证书呢？ 国际标准SSL证书签发后或成功上传后，可以在华为云的其他云产品中使用，如WAF、ELB、CDN等。 目前，SSL证书管理支持将证书一键部署到WAF、ELB、CDN。其他产品则需要下载证书后，再在对应的云产品控制台上传数字证书并进行部署。 将证书应用到WAF、ELB、CDN中： SSL证书管理支持将证书一键部署到WAF、ELB、CDN中。部署成功后，可以帮助您提升云产品访问数据的安全性。 详细操作请参见部署证书。

排查步骤 排除数字证书与终端不兼容的问题后，建议您按以下步骤进行检查： 首先建议您使用GlobalSign SSL Server Test工具进行检查： 如果检查结果中的证书品牌、证书类型、域名与您购买的不一致，请仔细检查服务器上数字证书的配置。 如果检查结果显示证书链不完整，请检查数字证书相关配置是否正确。 证书服务提供的PEM格式数字证书包含两段内容，两段内容中的任何一段都不能丢失。如果两段内容之间存在空白行，请删除空白行。配置修改完成后重启Web服务，并重新检查。 确保您的数字证书配置中已关闭了不安全的协议，如SSLv3等有已知隐患的协议。 检查您的网页中是否引用了一些HTTP资源。部分浏览器对HTTPS站点引用HTTP资源的情况会认为是不安全的。 如果一个域名有多台服务器，请您确认是否每台服务器都正确部署了证书。

问题原因 一般这种情况的审核失败，可能是由于您的域名中包含某些敏感词。 目前已知的可能无法通过DV数字证书审核的域名敏感词包括： live（不包含 .live顶级域名） bank banc ban.c alpha example credit pw（包含 .pw顶级域名） apple ebay trust root amazon android visa google discover financial wordpress pal hp lv free SCP edu .edu.cn gov onion

操作步骤 打开证书文件，选择证书路径，依次导出CA证书和中间证书，如图 导出证书。 图1 导出证书 点击CA证书，查看证书，再点击详细信息页面的“复制文件”。 图2 查看证书 单击“下一步”。 选择Base64格式并单击“下一步”。 指定要导出的文件名后，单击“下一步”，单击“完成”。 按步骤再次导出中间证书。 MMC控制台导入CA和中间证书。 将CA与中间证书分别导入下图位置。 将中间证书导入到中间证书颁发机构后再重新操作IIS服务器安装证书，无报错。

SSL证书的安装和配置提供咨询服务吗？ 华为云云证书管理服务不提供SSL证书的安装和配置咨询服务。 华为云云证书管理服务提供了几种主流Web服务器安装国际标准SSL证书的示例，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 如果您在实际安装过程中遇到问题，由于您的实际业务环境需要人工排查，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师进行处理。 父主题： SSL证书安装类

SSL证书部署后，浏览器是否会弹出不安全提示？ 不会。 免费测试证书会对网站域名进行简易验证，能起到加密传输的作用。如果证书安装正确，且在有效期内，在使用时，浏览器不会弹出不安全提示。 另外，收费证书不仅会对申请者做严格的身份审核验证，还会提供高强度通信链路加密功能，保护内外部网络上敏感数据传输。如果证书安装正确，且在有效期内，在使用时，浏览器也不会弹出不安全提示。 父主题： SSL证书问题排查类

Solution as Code一键式部署类最佳实践 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表2 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 等保二级解决方案 帮您在华为云上快速部署等保二级合规解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 CCM、WAF、HSS、MTD、CFW 等保三级解决方案 依托华为云自身安全能力与安全合规生态，为用户提供一站式的等保三级安全解决方案，轻松满足等级保护合规要求。 CCM、WAF、HSS、MTD、CFW、CBH、DBSS、CodeArts Inspector

注册与登录 1. 在 全国互联网安全管理服务平台， 单击用户登录。 图1 用户登录 2. 进入登录页面后，单击注册账号。如果您已经有全国互联网安全管理服务平台的账号，可以直接登录。 个人备案请使用个人账号登录。 企业或单位备案请使用法人用户账号登录。 图2 注册账号 3. 根据页面提示填写信息，单击下一步。 图3 填写信息 4. 根据弹出二维码验证页面，请先扫描左侧二维码下载“公安一网通办” APP，再使用该 APP 扫描右侧二维码进行实人认证。完成互联网站安全服务平台的账号注册。 图4 实人认证 5. 返回登录页面，单击用户登录。 6. 输入您注册的账号、密码，以及验证码，单击登录。在实名认证步骤再次完成APP扫码认证。扫码认证完成后页面自动跳转至全国互联网安全管理服务平台页面（说明您已注册成功）。 7. 如果您之前在旧平台注册过账号，且账号的主体之前填写并审核通过了，在新平台登录进去之后，您可以单击关联旧账号。 图5 关联账号 8. 在关联旧账号对话框中完成相关配置项设置后，单击确认完成旧账号绑定操作，把之前的主体信息同步过来。

填写开办者主体信息 1. 在弹出的提示窗口中或登录 新增主体 页，进行申请主体。如下图所示： 若系统未自动提示，请您单击业务办理页签，单击新增主体，即可申请主体。 如果您在本平台已办理过业务，可以通过关联旧账号将信息同步到新账号。 图6 新增主体 2.在开办主体管理页面，根据实际需求，填写开办主体的相关信息。 图7 填写开办主体信息 3. 根据页面提示逐步操作。 开办主体性质选择为个人，请按需填写负责人信息。 开办主体性质选择为单位，请按需填写主办单位信息和负责人信息。 4. 根据主体信息填写要求，进行填写后单击提交审核，弹窗出现新办网站申请、新增 APP等。 新增主体的审核时间为2~3个工作日。 请根据备案需求选择备案类型，以下请参考新办网站申请、新办APP申请。