检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
系统生成的CSR和自己生成CSR的区别? 证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取SSL证书,需要先生成CSR文件并提交给CA中心。
系统生成密钥签发证书 type = "APACHE"时,压缩包中包含三个文件:server.key(密钥文件,内容为PEM格式,若导出证书时设置密码,则为加密后的私钥)、chain.crt(证书链,内容为PEM格式)、server.crt(证书,内容为PEM格式); type =
通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如用公钥加密的数据就必须用私钥才能解密,如果用私钥进行加密也必须用公钥才能解密,否则将无法成功解密。
“自己生成CSR”方式申请的SSL证书,部署到WAF/ELB/CDN等服务中报错,该如何处理? 如果申请证书时,“证书请求文件”选择的是“自己生成CSR”,证书签发后,证书文件中不包含证书私钥文件,因此将出现一键部署证书到WAF/ELB/CDN等服务中出现报错的问题。
-----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的,您可以转换成无密码的密钥文件。关于具体转换方式,请参考主流数字证书有哪些格式?。 父主题: 证书咨询
server.key:签名证书私钥文件,包含一段证书私钥代码。 encrypt.crt:加密证书文件,包含一段加密证书代码。 encrypt.key:加密证书私钥文件,包含一段加密证书私钥代码。 domain.csr 证书请求文件。
如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头,则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头,则说明该证书是PKCS1编码格式。
根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。 公钥是公开的,不需要保密,而私钥是由证书持有人自己特有,并且必须妥善保管和注意保密。
请注意妥善保管您已创建的CSR和密钥。 图3 查看CSR、私钥内容 单击CSR文件内容框右侧“复制”。可以复制当前已创建的CSR文件内容,用于申请证书时填写,如图 复制CSR文件。 私钥内容由用户自行保管,请避免外发。 图4 复制CSR文件 父主题: 域名填写类
将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。 父主题: SSL证书安装类
使用Keytool工具生成CSR文件 证书服务系统对CSR文件的密钥长度有严格要求,密钥长度必须是2,048位,密钥类型必须为RSA。 使用OpenSSL工具生成CSR文件 安装OpenSSL工具。 执行以下命令生成CSR文件。
数字证书 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
仅当“证书请求文件”选择“系统生成文件”时,需要配置该参数。 表2 高级配置 参数名称 参数说明 示例 密钥算法 选择待申请私有证书的密钥算法和密钥的位大小。 可选择“RSA2048”、“RSA4096”、“EC256”、“EC384”、“SM2”。
CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。 选择证书请求文件生成方式: 系统生成CSR:系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。
有效期过长,将增加密钥材料泄露的风险;有效期过短,将频繁进行私有CA轮换,增大业务开销。 私有CA是会过期的,为了保证业务的平滑切换,需要提前规划好私有CA的轮换方案。 操作步骤 创建新的替代CA,同时禁用旧CA,不再使用旧CA签发证书。
将“ca.crt”、“server.crt”、“encrypt.crt”、“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。
申请证书时选择的“证书请求文件”生成方式为“系统生成文件”。 约束条件 证书安装前,务必在安装私有证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。
最小长度:0 最大长度:63 csr 是 String 证书CSR文件。 最小长度:0 最大长度:2555 private_key 否 String 证书私钥文件。
申请证书时选择的“证书请求文件”生成方式为“系统生成文件”。 约束条件 证书安装前,务必在安装私有证书的服务器上开启“443”端口,同时在安全组增加“443”端口,避免安装后仍然无法启用HTTPS。
与数据加密服务的关系 数据加密服务(Data Encryption Workshop,DEW)为云证书管理服务提供密钥对生成及保护的功能。详细内容请参考数据加密服务用户指南。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
