傳統型負載平衡CLB只支援PEM格式的認證。在上傳認證前,確保您的認證、憑證鏈結和私密金鑰符合格式要求。其它格式的認證需要轉換成PEM格式後,才能上傳到負載平衡。建議使用Open SSL進行轉換。
認證類型
CLB支援的認證類型:國際標準認證(RSA)。
認證要求
Root CA機構頒發的認證
如果是通過Root CA機構頒發的認證,您拿到的認證是唯一的一份,不需要額外的認證,配置的網站即可被瀏覽器等訪問裝置認為可信。
認證格式必須符合如下要求:
以
-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----開頭和結尾。每行64個字元,最後一行長度可以不足64個字元。
認證內容不能包含空格。
中級機構頒發的認證
如果是通過中級CA機構頒發的認證,您拿到的認證檔案包含多份認證,需要將伺服器憑證與中級認證合并在一起上傳。
憑證鏈結格式必須符合如下要求:
伺服器憑證放第一位,中級認證放第二位,中間不能有空行。
認證內容不能包含空格。
認證之間不能有空行,並且每行64位元組。更多資訊,請參見RFC1421。
符合認證的格式要求。一般情況下,中級機構在頒發認證時會有對應說明,認證要符合認證機構的格式要求。
中級機構頒發的憑證鏈結樣本。
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----認證公開金鑰
CLB支援的公開金鑰演算法:
RSA 1024
RSA 2048
RSA 4096
RSA私密金鑰格式要求
在上傳伺服器憑證時,您也需要上傳認證的私密金鑰。
RSA私密金鑰格式必須符合如下要求:
以
-----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY-----開頭和結尾,請將這些內容一併上傳。字串之間不能有空行,每行64字元,最後一行長度可以不足64字元。更多資訊,請參見RFC1421。
如果您的私密金鑰是加密的,例如私密金鑰的開頭和結尾是-----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY-----或-----BEGIN ENCRYPTED PRIVATE KEY-----, -----END ENCRYPTED PRIVATE KEY-----,或者私密金鑰中包含Proc-Type: 4,ENCRYPTED,需要先運行以下命令進行轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem轉換認證格式
DER轉換為PEM
DER格式通常使用在Java平台中,認證檔案尾碼一般為.der、.cer或者.crt。
運行以下命令進行認證轉換:
openssl x509 -inform der -in certificate.cer -out certificate.pem運行以下命令進行私密金鑰轉換:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B轉換為PEM
P7B格式通常使用在Windows Server和Tomcat中。
運行以下命令進行認證轉換:
openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cerPFX轉換為PEM
PFX格式通常使用在Windows Server中。
運行以下命令提取認證:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem運行以下命令提取私密金鑰:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes