华为云用户手册

SDK获取和安装 安装.NET开发环境。 访问.NET官网，下载并按说明安装.NET开发环境。 华为云.NET SDK适用于： .NET Framework 4.5 及其以上版本。 .NET Standard 2.0 及其以上版本。 C# 4.0 及其以上版本。 使用 .NET CLI 工具安装SDK dotnet add package HuaweiCloud.SDK.Core dotnet add package HuaweiCloud.SDK.IoTDA

SDK概述 物联网平台 提供应用侧SDK和设备侧SDK，方便设备通过集成SDK接入到平台，应用通过调用物联网平台的API，实现安全接入、设备管理、数据采集、命令下发等业务场景。 如果无法正常打开GitHub仓库，请检查您所使用的网络是否可以正常访问公网。由于GitHub的服务器部署在国外，国内用户访问时容易遇到无法打开的情况，请切换网络后再尝试打开。 资源包名 描述 下载路径 应用侧 Java SDK 应用侧 Java SDK提供Java方法调用应用侧API与平台通信。使用指南可以参考应用侧Java SDK使用指南。 应用侧 Java SDK 应用侧 .NET SDK 应用侧 .NET SDK提供.NET方法调用应用侧API与平台通信。使用指南可以参考应用侧.NET SDK使用指南。 应用侧 .NET SDK 应用侧 Python SDK 应用侧 Python SDK提供Python方法调用应用侧API与平台通信。使用指南可以参考应用侧Python SDK使用指南。 应用侧 Python SDK 应用侧 Go SDK 应用侧 Go SDK提供Go方法调用应用侧API与平台通信。使用指南可以参考应用侧Go SDK使用指南。 应用侧 Go SDK 应用侧 Node.js SDK 应用侧 Node.js SDK提供Node.js方法调用应用侧API与平台通信。使用指南可以参考应用侧Node.js SDK使用指南。 应用侧 Node.js SDK 应用侧 PHP SDK 应用侧 PHP SDK提供PHP方法调用应用侧API与平台通信。使用指南可以参考应用侧PHP SDK使用指南。 应用侧 PHP SDK 设备侧 IoT Device Java SDK 设备可以通过集成设备侧 IoT Device Java SDK接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK使用指南（Java）。 设备侧 IoT Device Java SDK 设备侧 IoT Device C for Linux/Windows SDK 设备可以通过集成设备侧 IoT Device C for Linux/Windows SDK接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device C for Linux/Windows SDK使用指南。 设备侧 IoT Device C for Linux/Windows SDK 设备侧 IoT Device C# SDK 设备可以通过集成设备侧 IoT Device C# SDK接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device C# SDK使用指南。 设备侧 IoT Device C# SDK 设备侧 IoT Device Android SDK 设备可以通过集成设备侧 IoT Device Android SDK 接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device Android SDK使用指南。 设备侧 IoT Device Android SDK 设备侧 IoT Device Go SDK(社区版) 设备可以通过集成设备侧 IoT Device Go SDK(社区版)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device Go SDK(社区版)使用指南。 设备侧 IoT Device Go SDK(社区版) 设备侧 IoT Device C for Linux/Windows SDK Tiny 设备可以通过集成设备侧 IoT Device C for Linux/Windows SDK Tiny接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device C for Linux/Windows SDK Tiny使用指南。 设备侧 IoT Device C for Linux/Windows SDK Tiny 设备侧 IoT Device Arkts(OpenHarmony) SDK 设备可以通过集成设备侧 IoT Device Arkts(OpenHarmony) SDK接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device Arkts(OpenHarmony) SDK使用指南。 设备侧 IoT Device Arkts(OpenHarmony) SDK 设备侧 IoT Device Python SDK 设备可以通过集成设备侧 IoT Device Python SDK接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 设备侧 IoT Device Python SDK使用指南。 设备侧 IoT Device Python SDK

版本说明 表1 Python版本说明 版本 变更类型 说明 1.2.0 新增功能 增加规则引擎、设备发放功能、自定义断线重连功能、升级组件版本。 1.1.4 新增功能 OTA升级支持网关模式 1.1.3 功能增强 更新服务端ca证书 1.1.2 新增功能 增加micropython支持和对应demo，从OBS下载OTA，以及说明文档。 1.1.1 新增功能 提供对接华为云IoT物联网平台能力，方便用户实现安全接入、设备管理、数据采集、命令下发等业务场景。

使用说明 已安装Python 3.11.4 已安装第三方类库paho-mqtt：2.0.0 (必需) 已安装第三方类库schedule: 1.2.2 (必需) 已安装第三方类库apscheduler: 3.10.4 (必需) 已安装第三方类库requests: 2.32.2 （可选，在网关与子设备管理demo演示中使用） 已安装第三方类库tornado: 6.3.3 （可选，在网关与子设备管理demo演示中使用）

版本更新说明 表1 C#语言SDK版本更新说明 版本号 变更类型 功能描述说明 1.3.4 功能增强 优化日志打印； oc开头SubscribeTopic返回topic； demo优化； 网关接口bug修复； 升级目标框架； 其它优化。 1.3.3 新增功能 OTA升级支持网关模式 1.3.2 功能增强 更新服务器ca证书 1.3.1 修复 修复空指针异常，MQTT对象未释放等问题。 1.3.0 新功能 支持通过OBS升级软固件包 1.2.0 新功能 增加泛协议功能 1.1.1 功能增强 添加网关删除子设备功能，完善中英文描述。 1.1.0 新功能 新增网关与物模型功能 1.0.0 第一次发布 提供基础的设备接入能力，sdk预置了设备接入地址及华为IoTDA平台配套的CA证书。

快速部署 本章节主要帮助用户快速部署“CDN自动预热缓存”解决方案。 表1 参数填写说明 参数名称 类型 是否可选 参数解释 默认值 cdn_bucket_name String 必填 OBS桶名称，全局唯一，用于作为OBS源站桶。取值范围：3~63个字符，支持小写字母、数字、中划线（-）、英文句号（.）。 空 domain String 必填 需要预热缓存的 CDN加速 域名，取值范围： 域名 用字母（A-Z，a-z，大小写等价）、数字（0-9）和连接符（-）组成，各级域名之间用实点（.）连接，国际域名75个字符。注意连接符（-）不能作为域名的开头或结尾字符。示例：https://download.game-apk1.com/。 空 登录华为云解决方案实践，选择“ CDN自动预热缓存”模板，单击“一键部署”跳转至解决方案部署界面。 图1 解决方案实践 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 父主题： 实施步骤

给rf_admin_trust委托添加 IAM Agency Management FullAcces策略 打开“ 统一身份认证 ”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAcces策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

大批量Region上下线过载场景调优 当集群规模较大，Region数过多时，同时重启多个RegionServer，当涉及需要重新上线的Region数过多时（10w+），可能会导致HMaster过载，Region上线慢。 可在Manager界面的HBase配置中调整表4中的参数，提升HMaster处理高优先级请求的能力，减少HMaster过载。 表4 大批量Region上下线过载相关参数调优 实例名称 参数名称 参数描述 调整策略 HMaster hbase.regionserver.metahandler.count HMaster处理高优先级请求的Handler数量。 调大此Handler值，不建议超过1000。 hbase.ipc.server.metacallqueue.read.ratio 高优先级请求队列中读队列的比例，会影响meta读/写Handler的数量。 建议保持默认设置，默认值为“0.5”。 RegionServer hbase.regionserver.msginterval RegionServer与HMaster进行消息传输的时间间隔。 调大此参数可以减轻HMaster压力，建议设置为15s。

操作场景 Succinct Trie特性优化了HFile Block结构，开启后可以减少缓存空间的使用，降低缓存数据驱逐率，提升缓存命中率，适用于频繁读取数据的场景，优化了数据读取性能。 开启Succinct Trie后，HFile文件将不兼容开源版本，如果使用HFile进行数据迁移，且需要迁移到 MRS 3.2.0及之前版本时，需要先关闭此特性，再对数据表执行major compaction生成新的HFile文件。

Proxy版本发布记录 表6 Proxy版本发布记录 版本号 更新级别 发布日期 类型 说明 5.0.14.8 LOW 2025-03-30 功能优化 优化慢日志和最大时延统计方式。 5.0.14.7 MEDIUM 2024-12-25 缺陷修复 增强稳定性。 优化内部连接，修复大集群场景下连接数过载的问题。 5.0.14.6 MEDIUM 2024-11-05 缺陷修复 修复redis 6命令兼容性问题。 5.0.14.5 MEDIUM 2024-10-23 缺陷修复 增强稳定性。 5.0.14.2 LOW 2024-10-08 功能优化 增强稳定性。

小版本发布记录（2024年前） 分布式缓存服务Redis的历史版本号格式为：x.y.z，版本号具体含义如下。 x: 主版本号，代表大版本。 y: 次版本号。 z: 补丁版本号。 表7 Redis 6内核版本发布记录 版本号 日期 特性描述 6.2.10 2023年11月 修复cluster因为publish消息至所有连接节点导致的内存增长后无法下降的问题。 2023年5月 支持写带宽控制。 2023年3月 修复带宽流控统计。 2023年3月 修复带宽module中的连接类型错误。 2022年10月 修复更新密文时的内存释放错误。 2022年5月 sentinel支持拓展功能。 2022年5月 支持过期键老化速度优化。 2022年5月 合入Redis社区6.2.10版本。 表8 Redis 5内核版本发布记录 版本号 日期 特性描述 5.0.14 2023年11月 新增persistence-error-check配置项。 2023年10月 支持集群模式磁盘故障下倒换。 2023年4月 修改内核，定制化slowlog输出。 2023年3月 优化流控默认参数。 2023年1月 更改计数器流控为令牌桶。 2022年10月 添加 watch，wait，psubscribe到只读命令。 2022年10月 支持运行时动态重命名命令功能。 2022年4月 合入Redis社区5.0.14版本。 2021年10月 过期key内核老化速度优化。修复中文格式乱码问题。 2021年9月 内核过期速度优化。 2021年8月 支持写带宽控制。 2021年8月 支持带宽控制和命令时延记录。 2021年4月 修复redis代码中announce模块存在数据溢出风险的问题。 2021年1月 修复新创建的redis实例无法写入AOF的问题。 2020年10月 修复用户的身份验证命令。 2020年10月 在通用模块API函数中支持流。 2020年5月 修复migrate日志、slowlog和monitor输出中可能出现明文密码的问题。 2020年4月 合入Redis社区5.0.9版本。 2020年3月 修复aof rewrite小概率存在无法结束的bug。 2020年3月 修复lua相关的内存泄漏。 2019年11月 合入Redis社区5.0.7版本。 表9 Redis 4内核版本发布记录 版本号 日期 特性描述 4.0.14 2023年4月 支持动态重命名。 2023年3月 日志修改。 2022年10月 添加watch，wait，psubscribe到只读命令。 2022年7月 支持rename-command命令。 2021年12月 修复安全漏洞CVE-2020-14147。 2021年10月 过期key内核老化速度优化。 2021年9月 内核过期速度优化。 2021年8月 支持写带宽控制。 2021年4月 优化重构monitor代码，去除数据面冗余文件。 2020年8月 删除Lua中的随机值函数。 2020年4月 修复使用redis crash时日志打印不适用bio线程的问题。 2020年3月 解决EulerOS中glibc版本过老问题。 2020年1月 增加maxrss配置项，删除maxkeys配置项。 2020年1月 支持maxkeys配置，keys个数据超过maxkeys时，强制淘汰。 2019年7月 修复安全漏洞CVE-2019-10193。 2019年7月 修复安全漏洞CVE-2019-10192。 2019年3月 合入Redis社区4.0.14版本。

小版本发布记录 表1 Redis 7内核版本发布记录 版本号 更新级别 发布日期 类型 说明 7.2.8.1 HIGH 2025-04-07 功能优化 增强稳定性。 7.2.8.0 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 修复CVE-2024-51741安全漏洞。 7.2.7.1 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31227安全漏洞。 修复CVE-2024-31228安全漏洞。 7.2.7.0 不涉及 2024-11-15 首次发布 首次发布开源7.2.0版本。 表2 Redis 6（企业版）内核版本发布记录 版本号 更新级别 发布日期 类型 说明 6.2.6.5 HIGH 2025-03-30 缺陷修复 修复安全漏洞CVE-2024-46981。 表3 Redis 6（基础版）内核版本发布记录 版本号 更新级别 发布日期 类型 说明 6.2.17.1 HIGH 2025-04-07 功能优化 增强稳定性。 6.2.17.0 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 6.2.16.1 HIGH 2024-12-25 缺陷修复 修复流控场景下小概率节点异常的问题。 6.2.14.1 HIGH 2024-10-14 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 6.2.14.0 HIGH 2024-08-21 缺陷修复 修复CVE-2023-45145安全漏洞。 表4 Redis 5内核版本发布记录 版本号 更新级别 发布日期 类型 说明 5.0.14.6 HIGH 2025-04-07 功能优化 增强稳定性。 5.0.14.5 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 5.0.14.4 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 修复CVE-2022-24834安全漏洞。 5.0.14.3 LOW 2024-11-25 功能优化 增强磁盘故障时的可靠性。 5.0.14.2 MEDIUM 2024-11-05 功能优化 修复迁移时特殊命令可能导致主从进度不一致的问题。 5.0.14.1 LOW 2024-10-14 功能优化 增强稳定性。 5.0.14.0 LOW 2024-09-14 功能优化 增强稳定性。 表5 Redis 4内核版本发布记录 版本号 更新级别 发布日期 类型 说明 4.0.14.24 HIGH 2025-04-07 功能优化 增强稳定性。 4.0.14.23 HIGH 2025-03-30 缺陷修复 修复CVE-2024-46981安全漏洞。 4.0.14.22 HIGH 2024-12-25 缺陷修复 修复CVE-2024-31449安全漏洞。 修复CVE-2024-31228安全漏洞。 4.0.14.21 LOW 2024-11-26 缺陷修复 修复迁移时特殊命令可能导致主从进度不一致的问题。 4.0.14.0 LOW 2024-09-14 功能优化 增强稳定性。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 E CS ：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 虚拟私有云 VPC：为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

快速卸载 登录虚拟私有云 VPC控制台，选择”对等连接”，单击“删除“。在弹出的框中输入“DELETE“，单击“确定“。 图1 虚拟私有云控制台 图2 删除对等连接 解决方案部署成功后，登录 资源编排 服务 RFS，进入“资源栈”，选择创建的资源栈名称，单击该方案堆栈后的“删除”。 图3 一键卸载 在弹出的删除堆栈确认框中，输入Delete，单击“确定”，即可卸载解决方案。 图4 删除堆栈确认 父主题： 实施步骤

高可用版 登录华为云解决方案实践，选择“快速构建高可用Solr集群”解决方案。单击“一键部署（高可用版）”，跳转至解决方案创建堆栈界面。 图10 解决方案实施库 在选择模板界面中，单击“下一步”。 图11 选择模板 在配置参数界面中，参考表2完成自定义参数填写，单击“下一步”。 图12 配置参数 （可选，如果使用华为主账号或admin用户组下的IAM子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图13 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图14 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图15 创建执行计划 待执行计划状态为“创建成功，待部署”后，单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图16 执行计划 图17 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表3）请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图18 资源创建成功

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规格(包年包月)--单机版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 区域：华北-北京四 计费模式：包年包月 规格：镜像：CentOS 7.6 64bit 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 系统盘：高IO | 100GB 购买量：1 187.20元 合计 187.20元 表2 资源和成本规格(按需计费)--单机版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费：0.41元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 购买时长：720小时 295.20元 合计 295.20元 表3 资源和成本规格(包年包月)--高可用版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS(ZooKeeper集群) 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.medium.2 | 1vCPUs | 2GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：3 321.60元 弹性云服务器 ECS(SolrCloud集群) 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：4 748.80元 合计 1070.40元 表4 资源和成本(按需计费)--高可用版 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS(ZooKeeper集群) 按需计费：0.22元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：3 购买时长：720小时 475.20元 弹性云服务器 ECS(SolrCloud集群) 按需计费：0.41元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | S6.large.2 | 2vCPUs | 4GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：4 购买时长：720小时 1,180.80元 合计 1656.00元

约束与限制 该解决方案部署前，需 注册华为账号 并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 如果选用IAM委托权限部署资源，请确保使用的华为云账号有IAM的足够权限，具体请参考创建rf_admin_trust委托（可选）；如果使用华为主账号或admin用户组下的IAM子账户可不选委托，将采用当前登录用户的权限进行部署。 该解决方案默认部署在新建VPC下，VPC 网段为：172.16.0.0/16。使用该方案前，必须保证业务系统和Solr服务的网络互通。具体配置可参考VPC对等连接，更多详情可参考VPC对等连接官网。

给rf_admin_trust委托添加IAM Agency Management FullAccess策略（可选） 打开“统一身份认证”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAccess，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAccess策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

Solution as Code一键式部署类最佳实践 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表2 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 等保二级解决方案 帮您在华为云上快速部署等保二级合规解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 CCM、WAF、HSS、MTD、CFW 等保三级解决方案 依托华为云自身安全能力与安全合规生态，为用户提供一站式的等保三级安全解决方案，轻松满足等级保护合规要求。 CCM、WAF、HSS、MTD、CFW、CBH、DBSS、CodeArts Inspector

背景知识 建立组织内部完整的CA层次体系称为自建PKI体系。 在自建PKI体系时，需要根据使用场景提前设计好结构，以便后续管理： CA层次的选择 CA层次决定了创建各级从属CA时所需设置的路径长度，以限制其向下签发从属CA的能力，同时影响证书链的长度。 恰当的CA层次设计，有利于CA的管理。PCA服务支持最多可创建七层CA结构，不同CA结构的区别请参见私有CA层次结构设计 证书的轮换 证书有效期到期前需要进行新旧证书的替换，避免因证书过期导致业务中断，新旧证书替换的过程即为证书的轮换。 证书有效期的长短决定了证书轮换的周期，合适的证书有效期设置可降低密钥材料泄露的风险和减少证书轮换的成本，关于PCA有效期设置可参考PCA证书有效期。 证书吊销管理 当证书出现密钥泄漏或者因某些因素不再被使用时，需要将其吊销。因此在创建CA时，需要开启证书吊销列表，同时在自身业务的检验证书环节中要检验证书是已被吊销。

约束与限制 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书如果指定了多个域名，更新证书前需要注意SCM证书的域名与其是否完全匹配。如果不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。

操作步骤 您需要根据您实际的业务场景需求购买相应的证书，详细操作请参见购买SSL证书。 图2 如何选购证书 成功购买证书后，您需要申请证书，即为证书绑定域名、填写证书申请人的详细信息并提交给证书颁发机构审核，详细操作请参见申请SSL证书。 提交审核后，证书颁发机构将向您填写的邮箱发送一封验证邮件，您需要根据申请证书时填写的域名验证方式进行域名验证，详细操作请参见验证域名所有权。 当您申请的是OV和EV类型证书时，域名验证完成后，CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系，确认企业/组织是否发起了此次的证书订单申请。详细操作请参见组织验证。 不同证书的签发周期如表 证书审核周期所示，请您耐心等待证书签发。 域名验证和组织验证都需要您配合CA机构完成，若您未及时配合会影响证书的签发周期。 表1 证书审核周期 证书类型 审核周期 EV CA机构人工审核信息。 在信息正确的情况下审核周期一般为7～10个工作日。 OV CA机构人工审核信息。 在信息正确的情况下审核周期一般为3～5个工作日。 DV 无人工审核。 CA机构签发系统自动检查域名授权配置，DNS配置正确的情况下（需要您自行排查DNS配置是否正确）可在数小时内快速颁发。 证书签发后，请将证书下载到本地，详细操作请参见下载SSL证书。 安装SSL证书，让服务器开启HTTPS加密通信，不同Web服务器安装SSL证书的具体操作不同，以下介绍了几种在主流Web服务器上安装SSL证书的方法，请根据您的需要进行选择： 在Tomcat上安装SSL证书的详细指导操作请参见如何在Tomcat上安装SSL证书？。 在Nginx上安装SSL证书的详细指导操作请参见如何在Nginx上安装SSL证书？。 在Apache上安装SSL证书的详细指导操作请参见如何在Apache上安装SSL证书？。 在IIS上安装SSL证书的详细指导操作请参见如何在IIS上安装SSL证书？。 在Weblogic上安装SSL证书的详细指导操作请参见在Weblogic服务器上安装SSL证书。

前提条件 请准备基础认证信息： AC CES S_KEY：华为云账号Access Key SECRET_ACCESS_KEY：华为云账号Secret Access Key DOMAIN_ID：华为云账号ID，详情请参见华为云账号基本概念 CCM_ENDPOINT：华为云CCM服务(PCA属于CCM下的微服务)访问终端节点，详情请参见终端节点说明 华为云SDK，提供统一的SDK使用方式。通过添加依赖或下载的方式调用华为云API，访问华为云应用、资源和数据。 PCA服务统一SDK地址见 SDK中心 。 华为云统一SDK使用指导请参见华为云开发者Java软件开发工具包（Java SDK）。 父主题： PCA代码示例最佳实践

私有证书轮换 私有证书被部署在服务节点上（包含私钥），频繁用于加密通信，为了避免私钥的泄露，通常根据业务场景的安全级别要求，来设定私有证书的有效期以及私有证书轮换（即新私有证书替换旧私有证书）的周期。例如，当私有证书被用于高机密的加密会议场景时，私有证书的有效期可能是小时级别的，而当私有证书被用于部署在web服务器时，通常有效期为年级别（当前国际证书颁发机构签发的SSL证书，有效期基本都为1年）。 私有证书的轮换周期是根据私有证书的过期时间来设定的，基本原则是在旧私有证书过期前，将新私有证书替换到对应的工作节点上，避免因私有证书过期导致业务通信中断。 私有证书即将过期时，请预留足够的缓冲时间，来确保私有证书被成功轮换，避免当出现不可控因素导致轮换失败时（这时需要一定的时间进行重试或者手动替换），旧私有证书过期导致业务中断。 若被成功替换下来的旧私有证书，还有较长的有效期时，将其吊销可避免被滥用。 若新私有证书的根CA与旧私有证书的根CA不一致，则需要将新私有证书信任的根CA加到根CA信任列表中。 父主题： 私有证书管理最佳实践

私有证书生命周期管理 私有证书生命周期管理操作说明如表 私有证书生命周期管理操作说明所示。 表1 私有证书生命周期管理操作说明 操作 说明 备注 申请私有证书 申请私有证书，一般可根据实体在通信中扮演的角色，将私有证书分为客户端证书和服务器证书。申请私有证书前，用户需要有已创建好的可用于签发证书的私有CA。 私有证书按个数收费，一经签发，不支持退费。 私有证书的通用名称（common name）允许重复，建议您为私有证书取具有标识性的名称，以便区别。 导出私有证书 导出申请好的私有证书（包含私钥），用户可根据自己的需要，选择需要导出的格式。 私有证书的私钥需要妥善保管，若不慎泄露，请及时吊销和替换私有证书。 须知： 若在证书链路径上，任何一个CA证书被永久删除了，则无法导出证书。 吊销私有证书 当私有证书因为某些因素，不再使用时，可将其吊销。及时吊销，可避免私有证书滥用。 证书滥用，将会引发安全问题，请给予重视。 须知： 若父CA未启用证书吊销列表，则无法查询到私有证书是否已被吊销，意味着校验私有证书时，私有证书仍可通过吊销验证。 删除私有证书 用户可根据自身需要对私有证书执行删除操作。 任何状态下的私有证书，皆可删除。 须知： 此操作将会在数据库中，立即删除私有证书所有信息，属于不可逆操作，请谨慎执行。 父主题： 私有证书管理最佳实践

证书吊销列表管理 PCA服务中，对证书吊销列表（Certificate Revocation List， CRL）的管理有以下约束： 仅当创建私有CA时，启用了证书吊销列表配置，吊销证书后才会发布吊销列表。 当父CA未启用CRL时，被吊销的证书不会被写进吊销列表中，意味着校验证书时，证书仍可通过吊销验证，即存在安全隐患。有吊销证书需求的用户，请务必启用CRL配置。 当前只允许将CRL发布至用户授权的OBS桶中，不允许自定义其它地址。 启用CRL配置后，发布的CRL文件的访问策略与用户的OBS策略有关，用户可至 对象存储服务 （Object Storage Service，OBS），对已授权的OBS桶设置自定义访问策略。 证书一旦被吊销，将不可再恢复。 处于吊销状态的证书，将不被信任（被发布至CRL中）。 当证书被吊销后，PCA服务会在30分钟内将其写进CRL（当其父CA启用CRL时），并更新进OBS桶中。若发布CRL失败，会间隔15分钟后，再次尝试生成。 当发布新CRL的定时任务开启时，若私有CA已被删除或已过期、OBS桶被删除或授权被取消，定时任务将执行失败。 在CRL的有效期内，若私有CA未吊销过子证书，则只有过了有效期后（可能会延迟30分钟左右），才会生成新的CRL，有效期支持7~30天。 适合的吊销原因，可使证书吊销列表传达的吊销信息更准确。 PCA服务中默认的吊销原因为“UNSPECIFIED”，吊销原因可选值及其含义如表 吊销理由及含义所示。 表1 吊销原因及含义 吊销理由 对应RFC 5280标准中的吊销理由码 含义 UNSPECIFIED 0 吊销时未指定吊销原因，为默认值 KEY_COMPROMISE 1 证书密钥材料泄露 CERTIFICATE_AUTHORITY_COMPROMISE 2 签发路径上，存在CA密钥材料泄露 AFFILIATION_CHANGED 3 证书中的主体或其他信息已经被改变 SUPERSEDED 4 证书已被取代 CESSATION_OF_OPERATION 5 证书或签发路径中的实体已停止运营 CERTIFICATE_HOLD 6 证书当前不应被视为有效，将来可能会生效 PRIVILEGE_WITHDRAWN 9 证书不再有权声明其列出的属性 ATTRIBUTE_AUTHORITY_COMPROMISE 10 担保证书属性的机构可能已受到损害 PCA服务中关于吊销理由的命名与国际标准存在差异，您可以通过吊销理由码查询RFC 5280标准中对吊销理由的相关描述。 父主题： 私有CA管理最佳实践