证书管理

最近更新时间:2019-03-21 16:09:48

您可以对已经接入 DSA 的域名进行 HTTPS 证书配置。DSA 支持配置您已有的证书,或腾讯云 SSL 证书管理 控制台中托管或颁发的证书。

证书管理列表

进入 DSA 控制台,在左侧菜单栏中单击【证书管理】,进入列表页面,该页面功能包括:

  • 查看域名 HTTPS 配置信息,包括证书来源、到期时间、回源方式、部署状态等基础信息。
  • 分域名部署证书,详细配置步骤请参见下文 配置证书
  • 批量部署域名证书,详细部署步骤请参见下文 批量部署
  • 编辑或删除HTTPS配置。

配置证书

在域名管理页面,单击【配置证书】,进入管理页面,域名部署主要步骤为:

  1. 选择域名
  2. 关联域名证书
  3. 选择回源方式
  4. 提交部署

选择域名

在【域名】下拉菜单中选择您要配置证书的域名。

注意:

配置证书的域名需要已接入腾讯云 DSA,且域名状态为 部署中已上线已下线下线中 状态的域名无法部署证书。

关联域名证书

选择域名后,需要为域名配置证书,DSA 支持自有证书、腾讯云托管证书和 COS 上传加速证书等不同来源的证书,您可以根据您选择的域名匹配合适的证书,以下是不同类型证书的配置步骤。

证书来源类型 配置步骤 备注说明
自有证书 需将证书内容、私钥内容粘贴入对文本框,您可以给证书添加备注信息以便区分。 证书内容需要为 PEM 格式,详情请参见 自有证书配置指导
腾讯云托管证书 需在证书下拉列表中选择匹配的腾讯云托管证书。 您可以前往 SSL证书管理 控制台申请免费证书,或将自有证书托管至腾讯云。
COS 上传加速证书 系统自动关联可用的证书内容。 COS 上传加速证书仅支持 COS 上传加速域名使用。

选择回源方式

配置证书后,您还需要指定 DSA 节点回源站获取资源时使用的协议,DSA 支持 HTTP 回源协议跟随 回源方式。

  • 选择 HTTP 回源
    用户至 DSA 节点请求支持 HTTPS/HTTP,但 DSA 节点回源站时均采用 HTTP 协议。
  • 选择 协议跟随 回源
    用户至 DSA 节点请求为 HTTP 时,DSA 节点回源请求也为 HTTP;用户至 DSA 节点请求为 HTTPS 时,DSA 节点回源请求也为 HTTPS。若源站未部署有效证书或源站 HTTPS 端口为非 443 端口,将会导致 HTTPS 请求回源失败。

提交部署

单击【部署】,提交任务,您可以在【证书管理】页面查看证书配置状态。

  • 域名证书新增或修改时,证书状态显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击【刷新】,查看证书部署状态。
  • 域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

批量部署

当您提交的证书关联了多个加速域名,您可以通过批量部署方式,为这些域名统一管理证书配置。批量部署的步骤为:

  1. 选择证书
  2. 关联域名
  3. 选择回源方式
  4. 提交部署

选择证书

使用批量管理时,所选择的证书一般是多域名或泛域名证书,详细配置步骤请参见 证书配置步骤

关联域名

选择证书后,系统会根据证书域名自动关联 DSA 加速域名,您还可以根据域名证书部署状态过滤,快速选择需要配置证书的域名。

选择回源方式

选择证书及域名后,您还需要为这些域名指定回源方式,DSA 支持 HTTP回源协议跟随 回源方式。

  • 选择 HTTP 回源
    用户至 DSA 节点请求支持 HTTPS/HTTP,但 DSA 节点回源站时均采用 HTTP 协议。
  • 选择 协议跟随 回源
    用户至 DSA 节点请求为 HTTP 时,DSA 节点回源请求也为 HTTP;用户至 DSA 节点请求为 HTTPS 时,DSA 节点回源请求也为 HTTPS。若源站未部署有效证书或源站 HTTPS 端口为非 443 端口,将会导致 HTTPS 请求回源失败。

注意:

批量部署时,所有配置域名使用相同的回源方式。

提交部署

配置完成后,单击【提交】,提交配置。您可以回到证书管理列表查看证书配置状态,

  • 域名证书新增或修改时,证书状态将显示为部署中状态,部署生效时间一般为5分钟左右,您可以单击【刷新】,刷新证书部署状态。
  • 域名证书部署过程为无缝覆盖,一般修改域名证书配置操作不会影响您的业务使用。

自有证书管理说明

证书及私钥说明

  1. 若您要为您的域名配置已有证书,请先了解以下内容。若您配置的是腾讯云 SSL 证书管理 控制台中托管或颁发的证书,可跳过此部分内容,直接查阅后文配置证书流程。
    CA 机构提供的证书一般包括以下几种,其中 DSA 使用的是 Nginx

  2. 进入 Nginx 文件夹,使用文本编辑器打开“.crt”(证书)文件和“.key”(私钥)文件,即可看到 PEM 格式的证书内容及私钥内容。

  3. 证书说明

    • 证书扩展名一般为“.pem”,“.crt”或“.cer”,在文本编辑器中打开证书文件,可以看到与下图格式相似的证书内容。
      证书 PEM 格式:以“-----BEGIN CERTIFICATE-----”作为开头, “-----END CERTIFICATE-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。

    • 如果是通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务器证书与中间证书拼接在一起上传。拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅规则说明。

      注意:

      • 证书之间不能有空行。
      • 每一份证书均为 PEM 格式。
    • 中级机构颁发的证书链格式如下。

      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
  4. 私钥说明

    • 私钥扩展名一般为“.pem”或“.key”,在文本编辑器中打开私钥文件,可以看到与下图格式相似的私钥内容。
      私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行64字符,最后一行长度可以不足64字符。
    • 如果您得到是以“-----BEGIN PRIVATE KEY-----”作为开头, “-----END PRIVATE KEY-----” 作为结尾的私钥,建议您通过 openssl 工具进行格式转换,命令如下。
      openssl rsa -in old_server_key.pem -out new_server_key.pem

证书链补齐

在使用自有证书配置过程中,可能会出现 证书链错误 的情况,您可以通过将 CA 的证书(PEM 格式)内容贴入域名证书(PEM 格式)尾部,来补齐证书链。也可以 提交工单 联系我们。

证书格式转换

目前 DSA 只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。

DER 转换为 PEM

DER 格式一般出现在 Java 平台中。

  • 证书转换
    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 私钥转换
    openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B 转换为 PEM

P7B 格式一般出现在 Windows Server 和 Tomcat 中。

  • 证书转换
    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
    用文本编辑器打开 outcertificat.cer 即可查看 PEM 格式的证书内容。
  • 私钥转换
    私钥一般在 IIS 服务器里可导出。

PFX 转换为 PEM

PFX 格式一般出现在 Windows Server 中。

  • 证书转换
    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 私钥转换
    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes