CDN上傳認證時的格式要求 - CDN

CDN只支援上傳PEM格式的認證和私密金鑰，針對不同憑證授權單位的認證，對認證內容的上傳有不同的要求。

Root CA機構頒發的認證

Root CA機構可以頒發多個認證，這些認證可以用於Apache、IIS、Nginx和Tomcat等Web伺服器。阿里雲CDN使用的認證格式與Nginx相容，包含尾碼為.crt（認證）和尾碼為.key（私密金鑰）的這兩個檔案。

進入Nginx檔案夾，使用文字編輯器開啟.crt檔案，您可以看到PEM格式的認證內容，如下圖所示。

PEM格式認證

認證上傳要求

配置HTTPS時，您需要將伺服器憑證與中間認證拼接成一份完整的認證後再上傳。拼接後的認證如下圖所示。

憑證鏈結格式

中級機構頒發的憑證鏈結格式如下：

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

拼接規則

私密金鑰副檔名一般為.pem或.key，在文字編輯器中開啟私密金鑰檔案，您可以看到與下圖格式相似的私密金鑰內容。

私密金鑰PEM格式

私密金鑰上傳要求

上傳RSA私密金鑰之前，您需要通過openssl genrsa -out privateKey.pem 2048在本地先產生私密金鑰，privateKey.pem為您的私密金鑰檔案。

請將以“-----BEGIN RSA PRIVATE KEY-----”開頭和以“-----END RSA PRIVATE KEY-----”結尾的內容一併上傳。
每行64個字元，最後一行可以不足64個字元。

如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭，以“-----END PRIVATE KEY-----”結尾的私密金鑰，您需要使用OpenSSL工具執行以下命令進行轉換，然後將new_server_key.pem的內容與認證一起上傳。

openssl rsa -in old_server_key.pem -out new_server_key.pem

HTTPS配置只支援PEM格式的認證，其他格式的認證需要轉換成PEM格式，建議通過OpenSSL工具進行轉換。下面是幾種比較流行的認證格式轉換為PEM格式的方法。

說明

CRT檔案可能是PEM或DER編碼格式，轉換前請確認您的認證格式。
PEM一般為文字格式設定，以 “-----BEGIN ***-----”開頭，以 “-----END ***-----”結尾，中間的內容是Base64編碼。PEM格式的私密金鑰尾碼一般為.key。

DER格式一般出現在Java平台中。

認證轉換：

openssl x509 -inform der -in certificate.cer -out certificate.pem

私密金鑰轉換：

openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B轉換為PEM
P7B格式一般出現在Windows Server和Tomcat中。
- 認證轉換：
```
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
```
  擷取outcertificate.cer中的-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----內容作為認證進行上傳。
- 私密金鑰轉換：
  P7B認證無私密金鑰，您只需在CDN控制台填寫認證部分，私密金鑰無需填寫。

PFX格式一般出現在Windows Server中。

認證轉換：

openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

私密金鑰轉換：

openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes