证书管理

最近更新时间:2020-04-01 16:49:27

您可以对已经接入 ECDN 的域名进行 HTTPS 证书配置。ECDN 支持配置您已有的证书,或腾讯云 SSL 证书管理 控制台中托管或颁发的证书。

证书管理列表

进入 ECDN 控制台,在左侧菜单栏中单击【证书管理】,进入列表页面,该页面功能包括:

  • 查看域名 HTTPS 配置信息,包括证书来源、到期时间、回源方式、部署状态等基础信息。
  • 分域名部署证书,详细配置步骤请参见下文 配置证书
  • 批量部署域名证书,详细部署步骤请参见下文 批量部署
  • 编辑或删除HTTPS配置。

配置证书

在域名管理页面,单击【配置证书】,进入管理页面,域名部署主要步骤为:

  1. 选择域名
  2. 关联域名证书
  3. 提交部署

选择域名

在【域名】下拉菜单中选择您要配置证书的域名。

注意:

配置证书的域名需要已接入腾讯云 ECDN,且域名状态为已上线已关闭部署中状态的域名无法部署证书。

关联域名证书

选择域名后,需要为域名配置证书,ECDN 支持配置自有证书及腾讯云托管证书,您可以根据您选择的域名匹配合适的证书,以下是两种证书的配置步骤。

证书来源类型 配置步骤 备注说明
自有证书 需将证书内容、私钥内容粘贴入对文本框,您可以给证书添加备注信息以便区分。 证书内容需要为 PEM 格式,详情请参见 自有证书配置指导
腾讯云托管证书 需在证书下拉列表中选择匹配的腾讯云托管证书。 您可以前往 SSL证书管理 控制台申请免费证书,或将自有证书托管至腾讯云。

提交部署

单击【部署】,提交任务,您可以在【证书管理】页面查看证书配置状态。

  • 域名证书新增或修改时,证书状态显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击【刷新】,查看证书部署状态。
  • 域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

批量部署

当您提交的证书关联了多个加速域名,您可以通过批量部署方式,为这些域名统一管理证书配置。批量部署的步骤为:

  1. 选择证书
  2. 关联域名
  3. 提交部署

选择证书

使用批量管理时,所选择的证书一般是多域名或泛域名证书,详细配置步骤请参见 证书配置步骤

关联域名

选择证书后,系统会根据证书域名自动关联 ECDN 加速域名,您还可以根据域名证书部署状态过滤,快速选择需要配置证书的域名。

提交部署

配置完成后,单击【提交】,提交配置。您可以回到证书管理列表查看证书配置状态,

  • 域名证书新增或修改时,证书状态将显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击【刷新】,刷新证书部署状态。
  • 域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

自有证书管理说明

证书及私钥说明

  1. 若您要为您的域名配置已有证书,请先了解以下内容。若您配置的是腾讯云 SSL 证书管理 控制台中托管或颁发的证书,可跳过此部分内容,直接查阅后文配置证书流程。
    CA 机构提供的证书一般包括以下几种,其中 ECDN 使用的是 Nginx
  2. 进入 Nginx 文件夹,使用文本编辑器打开“.crt”(证书)文件和“.key”(私钥)文件,即可看到 PEM 格式的证书内容及私钥内容。
  3. 证书说明
    • 证书扩展名一般为“.pem”,“.crt”或“.cer”,在文本编辑器中打开证书文件,可以看到与下图格式相似的证书内容。
      证书 PEM 格式:以“-----BEGIN CERTIFICATE-----”作为开头, “-----END CERTIFICATE-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。
    • 如果是通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务器证书与中间证书拼接在一起上传。拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅规则说明。
      注意:

      • 证书之间不能有空行。
      • 每一份证书均为 PEM 格式。
    • 中级机构颁发的证书链格式如下。
      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
  4. 私钥说明
    • 私钥扩展名一般为“.pem”或“.key”,在文本编辑器中打开私钥文件,可以看到与下图格式相似的私钥内容。
      私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。
    • 如果您得到是以“-----BEGIN PRIVATE KEY-----”作为开头, “-----END PRIVATE KEY-----” 作为结尾的私钥,建议您通过 openssl 工具进行格式转换,命令如下。
      openssl rsa -in old_server_key.pem -out new_server_key.pem

证书链补齐

在使用自有证书配置过程中,可能会出现 证书链错误 的情况,您可以通过将 CA 的证书(PEM 格式)内容贴入域名证书(PEM 格式)尾部,来补齐证书链。也可以 提交工单 联系我们。

证书格式转换

目前 ECDN 只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。

DER 转换为 PEM

DER 格式一般出现在 Java 平台中。

  • 证书转换
    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 私钥转换
    openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B 转换为 PEM

P7B 格式一般出现在 Windows Server 和 Tomcat 中。

  • 证书转换
    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
    用文本编辑器打开 outcertificat.cer 即可查看 PEM 格式的证书内容。
  • 私钥转换
    私钥一般在 IIS 服务器里可导出。

PFX 转换为 PEM

PFX 格式一般出现在 Windows Server 中。

  • 证书转换
    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 私钥转换
    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
目录