有奖捉虫:云通信与企业服务文档专题,速来> HOT
您可以对已经接入 ECDN 的域名进行 HTTPS 证书配置。ECDN 支持配置您已有的证书,或腾讯云 SSL 证书管理 控制台中托管或颁发的证书。
说明
若您的业务已迁移至 CDN 控制台,请参考 CDN 产品文档,前往 CDN 控制台进行操作。

证书管理列表

进入 ECDN 控制台,在左侧菜单栏中单击证书管理,进入列表页面,该页面功能包括:
查看域名 HTTPS 配置信息,包括证书来源、到期时间、回源方式、部署状态等基础信息。
分域名部署证书,详细配置步骤请参见下文 配置证书
批量部署域名证书,详细部署步骤请参见下文 批量部署
编辑或删除HTTPS配置。


配置证书

在域名管理页面,单击配置证书,进入管理页面,域名部署主要步骤为:

选择域名

域名下拉菜单中选择您要配置证书的域名。
注意
配置证书的域名需要已接入腾讯云 ECDN,且域名状态为已上线已关闭部署中状态的域名无法部署证书。


关联域名证书

选择域名后,需要为域名配置证书,ECDN 支持配置自有证书及腾讯云托管证书,您可以根据您选择的域名匹配合适的证书,以下是两种证书的配置步骤。
证书来源类型
配置步骤
备注说明
自有证书
需将证书内容、私钥内容粘贴入对文本框,您可以给证书添加备注信息以便区分。
证书内容需要为 PEM 格式,详情请参见 自有证书配置指导
腾讯云托管证书
需在证书下拉列表中选择匹配的腾讯云托管证书。
您可以前往 SSL证书管理 控制台申请免费证书,或将自有证书托管至腾讯云。


提交部署

单击部署,提交任务,您可以在证书管理页面查看证书配置状态。
域名证书新增或修改时,证书状态显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击刷新,查看证书部署状态。
域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

批量部署

当您提交的证书关联了多个加速域名,您可以通过批量部署方式,为这些域名统一管理证书配置。批量部署的步骤为:

选择证书

使用批量管理时,所选择的证书一般是多域名或泛域名证书,详细配置步骤请参见 证书配置步骤


关联域名

选择证书后,系统会根据证书域名自动关联 ECDN 加速域名,您还可以根据域名证书部署状态过滤,快速选择需要配置证书的域名。


提交部署

配置完成后,单击提交,提交配置。您可以回到证书管理列表查看证书配置状态,
域名证书新增或修改时,证书状态将显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击刷新,刷新证书部署状态。
域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

自有证书管理说明

证书及私钥说明

1. 若您要为您的域名配置已有证书,请先了解以下内容。若您配置的是腾讯云 SSL 证书管理 控制台中托管或颁发的证书,可跳过此部分内容,直接查阅后文配置证书流程。 CA 机构提供的证书一般包括以下几种,其中 ECDN 使用的是 Nginx

2. 进入 Nginx 文件夹,使用文本编辑器打开“.crt”(证书)文件和“.key”(私钥)文件,即可看到 PEM 格式的证书内容及私钥内容。

3. 证书说明
证书扩展名一般为“.pem”,“.crt”或“.cer”,在文本编辑器中打开证书文件,可以看到与下图格式相似的证书内容。 证书 PEM 格式:以“-----BEGIN CERTIFICATE-----”作为开头, “-----END CERTIFICATE-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。

如果是通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务器证书与中间证书拼接在一起上传。拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅规则说明。
注意
证书之间不能有空行。
每一份证书均为 PEM 格式。
中级机构颁发的证书链格式如下。
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
4. 私钥说明
私钥扩展名一般为“.pem”或“.key”,在文本编辑器中打开私钥文件,可以看到与下图格式相似的私钥内容。 私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。

如果您得到是以“-----BEGIN PRIVATE KEY-----”作为开头, “-----END PRIVATE KEY-----” 作为结尾的私钥,建议您通过 openssl 工具进行格式转换,命令如下。
openssl rsa -in old_server_key.pem -out new_server_key.pem

证书链补齐

在使用自有证书配置过程中,可能会出现 证书链错误 的情况,您可以通过将 CA 的证书(PEM 格式)内容贴入域名证书(PEM 格式)尾部,来补齐证书链。也可以 提交工单 联系我们。


证书格式转换

目前 ECDN 只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。

DER 转换为 PEM

DER 格式一般出现在 Java 平台中。
证书转换
openssl x509 -inform der -in certificate.cer -out certificate.pem
私钥转换
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B 转换为 PEM

P7B 格式一般出现在 Windows Server 和 Tomcat 中。
证书转换
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
用文本编辑器打开 outcertificat.cer 即可查看 PEM 格式的证书内容。
私钥转换 私钥一般在 IIS 服务器里可导出。

PFX 转换为 PEM

PFX 格式一般出现在 Windows Server 中。
证书转换
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
私钥转换
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes