检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
私有CA轮换 私有CA轮转是指使用新的CA替换即将过期的CA的过程。 私有CA的管理者需要设置合适的私有CA有效期。 有效期过长,将增加密钥材料泄露的风险;有效期过短,将频繁进行私有CA轮换,增大业务开销。 私有CA是会过期的,为了保证业务的平滑切换,需要提前规划好私有CA的轮换方案。
系统生成文件 申请私有证书时,如果“证书请求文件”选择的是“系统生成文件”,则下载文件说明如表2所示。 表2 下载文件说明(一) 证书类型 服务器类型 zip压缩包中包含的文件 国际证书 Tomcat keystorePass.txt:证书密码。 server.jks:证书文件。 Nginx
单击“下一步”,单击“完成”,出现弹窗提示证书“导入成功”,证书安装成功。 在服务器安装私有证书 在服务器安装私有证书的操作与国际标准SSL证书安装操作相同,请根据服务器类型选择相应的安装参考示例: 在Tomcat上安装SSL证书:操作示例详情请参见在Tomcat服务器上安装SSL证书。 在Nginx上安装SS
id}/revoke 表1 路径参数 参数 是否必选 参数类型 描述 ca_id 是 String 所要吊销的子CA ID。 最小长度:36 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。
资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Regio
在“所有类型”(或“所有状态”)搜索栏选择CA类型(或状态),私有CA列表界面将只显示对应类型(或状态)的CA。 在私有CA列表右上角的搜索框中输入CA名称,单击或按“Enter”,可以搜索指定的CA。 表1 CA参数说明 参数名称 说明 CA名称 (CN) 用户自定义的CA名称。
服务器身份验证 自定义扩展字段 填写待申请证书的自定义信息。 - (可选)配置证书AltName信息 如果该私有证书需要应用到多个主体,可以通过证书AltName添加其他主体的信息。 支持配置“IP address”、“DNS”、“Email”和“URI”四种类型的AltName
在待激活的私有CA所在行的“操作”列,单击“激活”,系统从弹出激活CA详细页面,如图 配置CA信息所示,请填写激活CA相关信息。 图1 配置CA信息 激活为根CA需要选择“CA类型”为“根CA” 根CA:用于建立新的CA层次结构。 配置以下参数。 表1 根CA参数配置 参数名称 参数说明 基本信息 密钥算法 选择密钥算法:
e 参数 是否必选 参数类型 描述 type 是 String 备用名称类型,当前仅支持DNS、IP、EMAIL、URI。 DNS IP EMAIL URI value 是 String 对应备用名称类型的值。 DNS类型,长度为不超过253; IP类型,长度不超过39,支持IPV4、IPV6;
证书、签发CRL,即可用于签发证书、吊销证书以及签发证书吊销列表,无法进行自定义。 创建从属CA,并直接激活,创建成功后,从属CA为“已激活”状态。其密钥用途默认与根CA一致,若有特殊要求,您也可以自定义从属CA密钥用途。 创建从属CA,但不立即激活,创建成功后,从属CA为“待激
PCA自定义策略 如果系统预置的CCM权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
Validity 参数 是否必选 参数类型 描述 type 是 String 有效期类型,为必填值: YEAR : 年(12个月) MONTH : 月(统一按31天) DAY : 日 HOUR : 小时 value 是 Integer 证书有效期值,与type对应的类型值,换算成年需满足以下规则:
购买私有CA参数说明所示。 表1 购买私有CA参数说明 参数名称 参数说明 计费模式 私有CA当前仅支持选择“包年/包月”计费模式。 服务类型 购买私有CA,服务类型请选择“私有CA” 区域 PCA为全区域可用服务,无需选择可用区域 密钥算法 支持选择以下两种密钥算法,请根据您的业务需求选择:
e 参数 是否必选 参数类型 描述 type 是 String 备用名称类型,当前仅支持DNS、IP、EMAIL、URI。 DNS IP EMAIL URI value 是 String 对应备用名称类型的值。 DNS类型,长度为不超过253; IP类型,长度不超过39,支持IPV4、IPV6;
最大长度:2097152 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 quotas Quotas object 证书配额,详情请参见Quotas字段数据结构说明。 表3 Quotas 参数 参数类型 描述 support_hsm_cluster Boolean 是否启用加密机集群加密功能。
鼠标右键单击目标站点(这里以默认站点为例),选择“编辑绑定”,如图4所示。 图4 编辑绑定 在弹出的窗口中,单击“添加”,并填写以下信息。 图5 添加网站绑定 类型:选择“https”。 端口:保持默认的“443”端口即可。 SSL证书:选择4导入的证书。 填写完成后,单击“确定”。 效果验证 部署成
jsse_keystore_password : 证书密码 表1 参数说明 参数 参数说明 jsse_keystore_tye 设定Keystore文件的类型,一般都设为jks jsse_keystore_file “server.jks”文件存放路径,绝对路径和相对路径均可。示例:cert/server
SSL证书购买后,可以修改证书品牌、证书类型、域名类型等信息吗? 在SCM中成功购买SSL证书后,将无法修改证书品牌、证书类型、域名类型、有效期等信息。 如修改证书品牌、证书类型等信息,则需要重新进行购买。购买证书详细操作请参见购买证书。 父主题: SSL证书选型类
最大长度:64 表6 EncCertInfo 参数 参数类型 描述 enc_serial_number String 加密证书序列号。 最小长度:1 最大长度:64 状态码: 400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。
Validity 参数 是否必选 参数类型 描述 type 是 String 有效期类型,为必填值: YEAR : 年(12个月) MONTH : 月(统一按31天) DAY : 日 HOUR : 小时 value 是 Integer 证书有效期值,与type对应的类型值,换算成年需满足以下规则:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
