华为云用户手册

  • 前提条件 已准备好需要上传证书的相关文件,具体如下: PEM编码格式的证书文件(文件后缀是PEM或者CRT) PEM编码格式的证书私钥文件(文件后缀是KEY) 目前SSL证书管理平台只支持上传PEM格式的证书。其他格式的证书需要转化成PEM格式后才能上传,具体操作请参见如何将证书格式转换为PEM格式?。 更多关于证书链的相关配置请参见证书链配置说明。 证书私钥需要是无密码保护的,更多详细介绍请参见为什么要使用无密码保护的私钥?。 上传的证书,SCM会在证书到期前30天提醒您证书即将到期,同时还支持配置消息提醒,设置后SSL证书管理系统会在证书到期前两个月、一个月、一周、三天、一天和到期时,发送邮件和短信提醒用户,具体配置操作请参见如何配置SSL证书到期提醒?。
  • 手动续费限制说明 续费证书不支持修改公司名称。 手动续费操作入口仅在SSL证书到期前30个自然日内开放,其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的,已签发且即将到期的付费SSL证书进续费,上传的证书、免费证书、单 域名 扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格(即证书品牌、证书类型、域名类型、域名数量、主域名)完全相同的证书。 续费证书与原证书为独立的两张证书,因此续费证书签发后您需要安装到Web服务器或部署到 华为云产品 。 续费签发的新证书有效期为续费有效期(如1年)加上原证书剩余有效期。例如,您已签发的1年有效期证书将于2022年11月30日过期,如果您在2022年11月25日完成续费购买和签发,则续费签发证书的有效期将在2023年11月25日的基础上再加上5天,即2023年11月30日。 Digicert DV(basic) 泛域名证书的续费入口仅在到期前15个自然日内开放。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期,新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格(即证书品牌、证书类型、域名类型、域名数量、主域名)不完全相同,则新签发证书的有效期为一年(可能与原证书过期前未使用的有效期存在重合),无法自动补齐原证书剩余的有效期。
  • 后续操作 提交证书申请。 详细操作请参见提交 SSL证书申请 。 填写证书申请信息时,公司名称请保持与旧证书一致,续费证书不支持修改公司名称。 域名验证。 详细操作请参见域名验证。 (OV、EV型)组织验证。 详细操作请参见组织验证。 签发证书。 以上操作完成后,请您耐心等待,CA机构将还需要一段时间进行处理。CA机构审核通过后,将会签发证书。 安装证书。 将已签发的续费证书安装到您的Web服务器,替换即将过期的旧证书。如果您没有在Web服务器中安装续费证书,则在旧证书过期后,您的服务器将无法正常使用HTTPS服务。 不同Web服务器安装SSL证书的具体操作不同,以下介绍了几种在主流Web服务器上安装SSL证书的方法,请根据您的需要进行选择: 在Tomcat上安装SSL证书的详细指导操作请参见如何在Tomcat上安装SSL证书?。 在Nginx上安装SSL证书的详细指导操作请参见如何在Nginx上安装SSL证书?。 在Apache上安装SSL证书的详细指导操作请参见如何在Apache上安装SSL证书?。 在IIS上安装SSL证书的详细指导操作请参见如何在IIS上安装SSL证书?。 在Weblogic上安装SSL证书的详细指导操作请参见在Weblogic服务器上安装SSL证书。 查看续费证书是否安装成功。 续费证书安装到Web服务器后,可通过浏览器查看证书是否已更新。 通过Web浏览器访问您的网站。 单击浏览器地址栏的,查看证书的有效期是否已更新。 如果证书有效期已显示为新证书的有效期,表示您的续费证书已完成更新。 图2 有效期
  • 标签策略简介 标签策略是策略的一种类型,可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如:标签策略规定为某资源添加的标签A,需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略,则资源将会被标记为不合规。 标签策略有如下两种应用方式: 1. 事后检查 —— 资源标签如果违反标签策略,则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后,则会阻止在指定的资源类型上完成不合规的标记操作。
  • 步骤三:修改配置文件 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 打开Apache根目录下“conf.d/ssl.conf”文件。 配置证书绑定的域名。 找到并修改如下参数: ServerName www.example.com:443 完整配置如下(以“www.domain.com”为例): ServerName www.domain.com:443 #用户服务器的域名 配置证书公钥。 找到并修改如下参数: SSLCertificateFile "${SRVROOT}/conf/server.crt" 设置证书公钥文件“server.crt”文件的路径,且路径中不能包含中文字符,例如“cert/server.crt”。 完整配置如下: SSLCertificateFile "cert/server.crt" 配置证书私钥。 找到并修改如下参数: SSLCertificateKeyFile "${SRVROOT}/conf/server.key" 设置为“server.key”文件的路径,且路径中不能包含中文字符,例如“cert/server.key”。 完整配置如下: SSLCertificateKeyFile "cert/server.key" 配置证书链。 找到并修改如下参数: #SSLCertificateChainFile "${SRVROOT}/conf/server-ca.crt" 删除行首的配置语句注释符号“#”,并设置为“ca.crt”文件的路径,且路径中不能包含中文字符,例如“cert/ca.crt”。 完整配置如下: SSLCertificateChainFile "cert/ca.crt" 修改后,保存“ssl.conf”文件并退出编辑。
  • 步骤五:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤一:获取文件 安装证书前,需要获取证书文件和密码文件,请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤: 如果申请证书时,“证书请求文件”选择“系统生成 CS R”,具体操作请参见:系统生成CSR。 如果申请证书时,“证书请求文件”选择“自己生成CSR”,具体操作请参见:自己生成CSR。 具体操作如下: 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”,“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包,获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码(服务器证书),并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码(中级CA),并另存为“ca.crt”文件。 将“ca.crt”、“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。
  • 下载的证书文件说明 下载文件说明:根据申请证书时,选择的“证书请求文件”方式的不同,下载文件也有所不同。 申请证书时,如果“证书请求文件”选择的是“系统生成CSR”,则下载文件说明如下: 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件,如图解压SSL证书所示,具体文件说明如表下载文件说明所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Nginx server.crt:签名证书文件,包含两段证书代码,分别为服务器证书和CA中间证书。 server.key:签名证书私钥文件,包含一段签名证书私钥代码。 encrypt.crt:加密证书文件,包含一段加密证书代码。 encrypt.key:加密证书私钥文件,包含一段加密证书私钥代码。 Apache ca.crt:证书链文件,包含一段中级CA代码。 server.crt:签名证书文件,包含一段服务器证书代码。 server.key:签名证书私钥文件,包含一段证书私钥代码。 encrypt.crt:加密证书文件,包含一段加密证书代码。 encrypt.key:加密证书私钥文件,包含一段加密证书私钥代码。 domain.csr 证书请求文件。 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,则下载文件说明如下: 下载的证书下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码,分别是服务器证书和CA中间证书。 签名证书私钥为用户自行保存的,华为云SSL证书管理不提供。在各个服务器上安装证书时,需要填写对应私钥的位置。
  • 约束条件 仅支持在证书有效期内,不限次数的下载证书,下载后即可在服务器(华为云的或非华为云的均可)上进行部署。 “证书请求文件”选择的是“系统生成CSR”,下载的文件包含了“Apache”、 “Nginx”、2个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”,下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码,分别是服务器证书和CA中间证书。签名证书私钥为用户自行保存的,华为云SSL证书管理不提供。
  • 步骤五:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 前提条件 证书已签发且“证书状态”为“已签发”。 已下载SSL证书,具体操作请参见下载证书。 已安装OpenSSL工具。 您可以从“https://www.openssl.org/source/”下载最新的OpenSSL工具安装包(要求OpenSSL版本必须是1.0.1g或以上版本)。 已安装Keytool工具。 Keytool工具一般包含在Java Development Kit(JDK)工具包中。 待安装证书为国际标准证书。
  • 步骤三:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤二:配置Resin 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 (可选)安装Resin。 如果已安装,则请跳过该步骤。 登录Resin官网并根据您的系统下载不同的应用程序包。 本步骤以下载Windows版本的Resin-4.0.38版本为例进行说明。 解压下载的Resin包。 进入Resin-4.0.38根目录并找到resin.exe文件。 运行resin.exe文件,运行期间将出现如图2所示的命令提示符窗口。 图2 提示窗口 运行完成后,启动浏览器,在Web地址栏中输入Resin默认地址“http://127.0.0.1:8080”,并按“Enter”。 当界面显示如图3所示时,则表示安装成功。 图3 登录Resin 修改配置文件。 在Resin安装目录下的“Resin.properties”配置文件(由于Resin版本的不同,配置文件也可能为“resin.xml”文件)中,找到如下参数: # specifies the --server in the config file # home_server : app-0 # Set HTTP and HTTPS bind address # http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080 # app.https : 8443 web.http : 8080 # web.https : 8443 将“app.https”和“web.https”前的注释符“#”去掉,并将“8443端”口修改为“443”。修改后,如下所示: “app.https”、“web.https”:指定服务器要使用的端口号,建议配置为“443”。 # specifies the --server in the config file # home_server : app-0 # Set HTTP and HTTPS bind address # http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080 app.https : 443 web.http : 8080 web.https : 443 找到如下参数,并将“jsse_keystore_tye”、“jsse_keystore_file”和“jsse_keystore_password”三行前的注释符“#”去掉。 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_tye : jks jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码 修改证书相关配置参数,具体配置请参见表1。 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_tye : jks jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码 表1 参数说明 参数 参数说明 jsse_keystore_tye 设定Keystore文件的类型,一般都设为jks jsse_keystore_file “server.jks”文件存放路径,绝对路径和相对路径均可。示例:cert/server.jks jsse_keystore_password “server.jks”的密码。填写“keystorePass.txt”文件内的密码。 须知: 如果密码中包含“&”,请将其替换成“&”,以免配置不成功。 示例: 如果keystorePass="Ix6&APWgcHf72DMu",则修改为keystorePass="Ix6&APWgcHf72DMu"。 修改完成后保存配置文件。 重启Resin。
  • 应用场景 域名证书监控功能用于为您统一监控所有站点的HTTPS状态并简化证书维护的复杂度,开启后可帮助您检测多个站点的HTTPS业务状态并及时发现站点上的SSL证书安全问题(例如:未配置SSL证书、证书已过期等),方便您统一维护多站点HTTPS,降低因人为疏忽导致HTTPS业务中断的风险。 初次使用域名证书监控功能,系统会为您发放一个有效期为7天的免费实例,您可以试用该实例体验域名证书监控功能。有效期截止后实例自动失效。 如需继续使用,您可以单击右上角“购买域名证书监控”购买更多域名证书监控实例。
  • 约束条件 仅支持在证书有效期内,不限次数的下载证书,下载后即可在服务器(华为云的或非华为云的均可)上进行部署。 “证书请求文件”选择的是“系统生成CSR”,下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”,下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码,分别是服务器证书和CA中间证书。私钥为用户自行保存的,华为云SSL证书管理不提供。
  • 下载的证书文件说明 下载文件说明:根据申请证书时,选择的“证书请求文件”方式的不同,下载文件也有所不同。 申请证书时,如果“证书请求文件”选择的是“系统生成CSR”,则下载文件说明如下: 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图2所示,具体文件说明如表1所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Tomcat keystorePass.txt:证书密码。 server.jks:证书文件。 Nginx server.crt:证书文件,包含两段证书代码,分别为服务器证书和CA中间证书。 server.key:证书私钥文件,包含一段证书私钥代码。 Apache ca.crt:证书链文件,包含一段中级CA代码。 server.crt:证书文件,包含一段服务器证书代码。 server.key:证书私钥文件,包含一段证书私钥代码。 IIS keystorePass.txt:证书密码。 server.pfx:证书文件。 domain.csr 证书请求文件。 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,则下载文件说明如下: 下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码,分别是服务器证书和CA中间证书。 私钥为用户自行保存的,华为云SSL证书管理不提供。在各个服务器上安装证书时,需要填写对应私钥的位置。 “自己生成CSR”的证书不支持一键部署到云产品。
  • 步骤三:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤二:配置IIS 安装IIS,请参照IIS相关安装指导进行安装。 打开IIS管理控制台,双击“服务器证书”,如图2所示。 图2 服务器证书 在弹出的窗口中,单击“导入”,如图3所示。 图3 导入 导入“server.pfx”证书文件,单击“确定”。 “密码”配置框内需要输入“keystorePass.txt”文件内的密码。 图4 导入pfx证书文件 鼠标右键单击目标站点(这里以默认站点为例),选择“编辑绑定”,如图5所示。 图5 编辑绑定 在弹出的窗口中,单击“添加”,并填写以下信息。 图6 添加网站绑定 类型:选择“https”。 端口:保持默认的“443”端口即可。 SSL证书:选择4导入的证书。 填写完成后,单击“确定”。
  • 约束条件 免费证书、多域名类型证书、已吊销证书不支持重新签发。 证书签发后,各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制: GlobalSign品牌:5天。 DigiCert品牌和GeoTrust品牌:25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌:25天。 在规定时间内,“单域名”和“泛域名”证书可重新签发的次数不限,超过各证书品牌的规定的时间,将不能执行重新签发的操作。
  • 步骤三:修改配置文件 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 配置/usr/local/nginx/conf目录下的“nginx.conf”文件。 找到如下配置内容,并取消注释 #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 修改如下参数,具体参数修改说明如表参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下,其余参数根据实际情况修改: server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口,可能会导致Nginx无法启动。 server_name test .com; #修改为您证书绑定的域名。 ssl_certificate /usr/local/nginx/conf/ cert/server.crt; #替换成您的签名证书文件的路径。 ssl_certificate_key /usr/local/nginx/conf/ cert/server.key; #替换成您的签名证书私钥文件的路径。 ssl_certificate /usr/local/nginx/conf/ cert/encrypt.crt; #替换成您的加密证书文件的路径。 ssl_certificate_key /usr/local/nginx/conf/ cert/encrypt.key; #替换成您的加密证书私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置,参数中“ssl”开头的属性与证书配置有直接关系,其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号,设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口,可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例:www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径,且路径中不能包含中文字符,例如“/usr/local/nginx/conf/cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径,且路径中不能包含中文字符,例如“/usr/local/nginx/conf/cert/server.key”。 修改完成后保存配置文件。
  • 步骤一:环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备nginx 下载nginx-1.18.0 tar zxfm nginx-1.18.0.tar.gz cd httpd-2.4.46 vi auto/lib/openssl/conf 将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存 ./configure \ --without-http_gzip_module \ --with-http_ssl_module \ --with-http_stub_status_module \ --with-http_v2_module \ --with-file-aio \ --with-openssl="/usr/local/gmssl" \ --with-cc-opt="-I/usr/local/gmssl/include" \ --with-ld-opt="-lm" 然后make install 则/usr/local/nginx为生成的国密版nginx目录 注:可能需要安装pcre-devel包。
  • 效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤二:获取文件 安装证书前,需要获取证书文件和密码文件,请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤: 如果申请证书时,“证书请求文件”选择“系统生成CSR”,具体操作请参见:系统生成CSR。 如果申请证书时,“证书请求文件”选择“自己生成CSR”,具体操作请参见:自己生成CSR。 具体操作如下: 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx” 2个文件夹和1个“domain.csr”文件,如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”、私钥文件“证书ID_证书绑定的域名_server.key”、“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包,获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”,即“server.crt”。 将“证书ID_证书绑定的域名_encrypt.pem”的后缀名修改为“crt”,即“encrypt.crt”。 将“server.crt”,“encrypt.crt”,“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/nginx/conf目录下创建“cert”目录,并且将“server.key”、“server.crt”、“encrypt.key”和“encrypt.crt”复制到“cert”目录下。
  • 步骤七:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤一:获取文件 安装证书前,需要获取证书文件和密码文件,请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤: 如果申请证书时,“证书请求文件”选择“系统生成CSR”,具体操作请参见:系统生成CSR。 如果申请证书时,“证书请求文件”选择“自己生成CSR”,具体操作请参见:自己生成CSR。 具体操作如下: 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件,如图 本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包,获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”,即“server.crt”。 将“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。
  • 步骤四:修改配置文件 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 配置Nginx中“conf”目录下的“nginx.conf”文件。 找到如下配置内容: #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 删除行首的配置语句注释符号#。 server { listen 443 ssl; server_name localhost; ssl_certificate cert.pem; ssl_certificate_key cert.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } 修改如下参数,具体参数修改说明如表 参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; 完整的配置如下,其余参数根据实际情况修改: server { listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口,可能会导致Nginx无法启动。 server_name www.domain.com; #修改为您证书绑定的域名。 ssl_certificate cert/server.crt; #替换成您的证书文件的路径。 ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。 ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 不要直接复制所有配置,参数中“ssl”开头的属性与证书配置有直接关系,其它参数请根据自己的实际情况修改。 表1 参数说明 参数 参数说明 listen SSL访问端口号,设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口,可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例:www.domain.com ssl_certificate 证书文件“server.crt”。 设置为“server.crt”文件的路径,且路径中不能包含中文字符,例如“cert/server.crt”。 ssl_certificate_key 私钥文件“server.key”。 设置为“server.key”的路径,且路径中不能包含中文字符,例如“cert/server.key”。 修改完成后保存配置文件。
  • 效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
  • 步骤一: 环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备Apache httpd 安装必要开发包:pcre-devel,expat-devel,apr,apr-util,bison,bison-devel,flex,flex-devel 下载Apache httpd 2.4.46 tar zxfm httpd-2.4.46.tar.gz cd httpd-2.4.46 ./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-apr=/usr/local/apr/apr --with-apr-util=/usr/local/apr/util --with-ssl=/usr/local/gmssl LDFLAGS=-lm vi build/config_vars.mk 找到ab_LIBS = -L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl 将-L/usr/local/gmssl/lib -lssl -lcrypto替换为/usr/local/gmssl/lib/libssl.a /usr/local/gmssl/lib/libcrypto.a 然后make install 则/usr/local/httpd为生成的国密版Apache httpd目录
  • 步骤二:获取文件 安装证书前,需要获取证书文件和密码文件,请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤: 如果申请证书时,“证书请求文件”选择“系统生成CSR”,具体操作请参见:系统生成CSR。 如果申请证书时,“证书请求文件”选择“自己生成CSR”,具体操作请参见:自己生成CSR。 具体操作如下: 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件,如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”,“证书ID_证书绑定的域名_server.crt”,私钥文件“证书ID_证书绑定的域名_server.key”,“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包,获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码(服务器证书),并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码(中级CA),并另存为“ca.crt”文件。 复制“证书ID_证书绑定的域名_encrypt.pem”文件的证书代码(加密证书),并另存为“encrypt.crt”文件。 将“ca.crt”、“server.crt”、“encrypt.crt”、“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/httpd/conf目录下创建“cert”目录,并且将“server.key”、“server.crt”、“ca.crt”、“encrypt.key”和encrypt.crt”复制到“cert”目录下。
  • 步骤三:修改配置文件 修改配置文件前,请将配置文件进行备份,并建议先在测试环境中进行部署,配置无误后,再在现网环境进行配置,避免出现配置错误导致服务不能正常启动等问题,影响您的业务。 打开Apache安装目录下“httpd.conf”文件 vi /usr/local/httpd/conf/httpd.conf 找到以下两行配置,取消注释 #LoadModule ssl_module modules/mod_ssl.so #Include conf/extra/httpd-ssl.conf 打开“httpd-ssl.conf”文件 vi /usr/local/httpd/conf/extra/httpd-ssl.conf 注释掉所有带SSLSessionCache的配置行 配置算法SSLCipherSuite HIGH:ECC-SM4-SM3:ECDHE-SM4-SM3 注释掉默认证书和key #SSLCertificateFile "/usr/local/httpd/conf/server.crt" #SSLCertificateKeyFile "/usr/local/httpd/conf/server.key" 配置国密双证书/私钥 SSLCertificateChainFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_ca.crt" SSLCertificateFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_server.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_server.key" SSLCertificateFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.key" 以上配置仅供参考,证书文件名,证书所在目录等配置请以您的实际情况为准。 验证配置文件 /usr/local/httpd/bin/httpd -t 当回显信息如下所示时,则表示配置正确: Syntax OK
共100000条