在您 開啟HTTPS服務之前,需要配置認證。您可以直接選擇在 阿里雲盾 託管購買的認證、免費認證或自行上傳自訂認證。自訂上傳只支援PEM
格式認證、認證及私密金鑰格式及其他格式轉PEM格式方法。
認證格式要求
CA 機構提供的認證一般包括以下幾種。其中阿里雲全站加速使用的是 Nginx (.crt為認證,.key為私密金鑰):
- 如果認證是通過 root CA機構頒發,則您的認證為唯一的一份。
- 如果認證是通過中級CA機構頒發的認證,則您的認證檔案包含多份認證,需要手工將伺服器憑證與中間認證拼接後,一起上傳。
说明 拼接規則為:伺服器憑證放第一份,中間認證放第二份,中間不要有空行。一般情況下,機構在頒發認證的時候會有對應說明, 請注意規則說明。
樣本
請確認格式正確後上傳。
- Root CA機構頒發的認證
認證格式為linux環境下
PEM
格式為:
認證規則為:- 請將開頭
-----BEGIN CERTIFICATE-----
和結尾-----END CERTIFICATE-----
一併上傳; - 每行64字元,最後一行不超過64字元。
- 請將開頭
- 中級機構頒發的憑證鏈結:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
憑證鏈結規則:
- 認證之間不能有空行;
- 每一份認證遵守第一點關於認證的格式說明。
RSA私密金鑰格式要求
rsa私密金鑰規則:
-
本地產生私密金鑰:
openssl genrsa -out privateKey.pem 2048
其中privateKey.pem
為您的私密金鑰檔案。 -
-----BEGIN RSA PRIVATE KEY-----
開頭,-----END RSA PRIVATE KEY-----
結尾;請將這些內容一併上傳。 -
每行64字元,最後一行長度可以不足64字元。
如果您並未按照上述方案產生私密金鑰,得到如
-----BEGIN PRIVATE KEY-----
、
-----END PRIVATE KEY-----
這種樣式的私密金鑰,您可以按照如下方式轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem
然後將new_server_key.pem
的內容與認證一起上傳。
認證格式轉換方式
HTTPS安全加速只支援 PEM 格式的認證,其他格式的認證需要轉換成 PEM 格式,建議通過openssl 工具進行轉換。下面是幾種比較流行的認證格式轉換為 PEM 格式的方法。
- DER 轉換為 PEM
DER格式一般出現在java平台中。
- 認證轉化:
openssl x509 -inform der -in certificate.cer -out certificate.pem
- 私密金鑰轉化:
openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
- 認證轉化:
- P7B 轉換為 PEM
P7B格式一般出現在windows server和tomcat中
- 認證轉化:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
擷取
outcertificat.cer
裡面-----BEGIN CERTIFICATE-----
,-----END CERTIFICATE-----
的內容作為認證上傳。 - 私密金鑰轉化:P7B認證無私密金鑰,因此 只需在控制台只需填寫認證部分,私密金鑰無需填寫。
- 認證轉化:
- PFX 轉換為 PEM
PFX格式一般出現在windows server中。
- 認證轉化:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
- 私密金鑰轉化:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
- 認證轉化:
免費認證
- 免費認證申請需要5-10分鐘。等待期間,您也可以重新選擇上傳自訂認證或者選擇託管認證。
- 無論您啟用的是自訂認證/託管認證,還是免費認證,都可以相互切換。
- 免費認證有效期間為1年,到期後自動續簽。
- 在您使用過程中,如果關閉Https設定後,再次開啟使用免費認證時,會直接使用已經申請過但未到期的認證。若開啟時認證已到期,會重新申請免費認證。
其它認證相關
- 您可以停用、啟用和修改認證。停用認證後,系統將不再保留認證資訊。再次開啟認證時,需要重新上傳認證或私密金鑰。請參考HTTPS安全加速設定。
- 只支援帶SNI資訊的SSL/TLS“握手”。
- 請確保上傳的認證和私密金鑰匹配。
- 更新認證的生效時間為10分鐘。
- 不支援帶密碼的私密金鑰。
其他認證相關的常見問題,參見更多認證問題。