管理來自不同服務商或內部CA的SSL認證,並在多個雲帳號間複用,流程繁瑣且易出錯。數位憑證管理服務支援上傳第三方認證、同步私人CA(PCA)認證,並能在同一實名認證主體下的不同阿里雲帳號間共用認證,協助實現SSL認證的統一管理、便捷部署和安全共用,簡化管理流程,提升營運效率。
統一管理不同來源的認證
阿里雲數位憑證管理服務可以管理多種來源的SSL認證:從本地上傳、從私人憑證授權單位(PCA)服務同步,以及從其他阿里雲主帳號共用。
認證來源:
本地上傳認證:從阿里雲下載的認證,或從任何第三方服務商擷取的認證,上傳後可進行統一管理和部署。
PCA同步認證:從阿里雲私人憑證授權單位(PCA)服務批量同步的認證,適用於企業內部認證管理。
共用認證:從統一實名認證主體下的其他阿里雲主帳號共用而來的認證,適用於多帳號下的認證安全共用。
核心功能:
統一管理:在控制台集中監控所有認證的狀態、有效期間和部署情況。
雲產品部署:將託管的認證一鍵部署到Server Load Balancer、CDN、WAF等多種阿里雲產品。
說明本地上傳認證、PCA同步認證和共用認證僅支援通過控制台部署至雲產品、ECS和Simple Application Server。如需手動部署SSL認證至Web應用伺服器,請使用阿里雲簽發認證。
上傳本地認證
將從阿里雲下載的認證,或第三方服務商擷取的認證上傳至數位憑證管理服務,以便在阿里雲上進行統一管理和部署。
步驟一:準備並驗證認證檔案
在上傳前,需確保認證檔案格式正確、內容完整且與私密金鑰匹配。
確認認證格式
說明數位憑證管理服務僅支援上傳PEM格式編碼(
.pem和.crt尾碼)的認證檔案。非PEM格式編碼的認證檔案,需要先將認證檔案轉為PEM編碼後上傳。數位憑證管理服務提供了SSL認證格式轉換工具,可以使用該工具將PFX、JKS、PKCS8格式的認證轉換為PEM格式。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在認證格式轉換頁面,按照頁面指引進行配置,單擊提交。
驗證認證與私密金鑰匹配(可選)
說明僅當無法確認認證檔案和私密金鑰檔案是否匹配時,才需要關注此步驟。確認匹配時,可直接跳過。
確保認證公開金鑰與私密金鑰是配對的,否則將導致上傳失敗或部署後無法使用。
RSA 認證
# 比較認證和私密金鑰的模數(modulus)的MD5值,兩者必須完全一致 openssl x509 -noout -modulus -in certificate.pem | openssl md5 openssl rsa -noout -modulus -in private.key | openssl md5ECC 認證
# 比較從認證和私密金鑰中提取的公開金鑰的MD5值,兩者必須完全一致 openssl x509 -in certificate.pem -pubkey -noout | openssl pkey -pubin -pubout -outform der | openssl md5 openssl pkey -in private.key -pubout -outform der | openssl md5如果驗證不匹配,常見原因為私密金鑰檔案帶有密碼。可使用
openssl rsa -in encrypted.key -out decrypted.key命令移除密碼後重試。
步驟二:在控制台上傳認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在上傳證書頁簽,單擊上傳證書。
在上傳證書面板,完成參數配置,單擊確定。
國際標準
參數
說明
認證標準
選擇國際標準,適用於RSA、ECC等演算法。
認證名稱
填寫一個易於識別的名稱,例如
example.com-2024-rsa。認證檔案
填寫認證檔案內容(PEM編碼)。
上傳檔案解析(推薦)
單擊上傳檔案解析,並選擇儲存在本機電腦的認證檔案,檔案內容將會自動解析至文字框。
手動填寫
使用文本編輯工具開啟PEM/CRT格式的認證檔案,複製其中的內容並粘貼到該文字框。
如果僅需確保服務端認證可信,則認證檔案需要包含伺服器憑證(①)和中間認證(②)。如果中間認證和伺服器憑證是兩個檔案,在憑證鏈結配置項填寫中間認證內容即可。
如果需確保用戶端和服務端認證可信,則認證檔案應該包含伺服器憑證(①)、中間認證(②)和根憑證(③)。如果中間認證、根憑證和伺服器憑證是三個檔案,需要按照圖示順序拼接中間認證和根憑證,並在憑證鏈結配置項填寫即可。
認證私密金鑰
填寫認證私密金鑰內容(PEM編碼)。
上傳檔案解析(推薦)
單擊上傳檔案解析,並選擇儲存在本機電腦的認證私密金鑰檔案,檔案內容將會自動解析至文字框。
手動填寫
使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框。私密金鑰內容填寫格式:
RSA
ECC
選擇已有的CSR
支援選擇通過數位憑證管理主控台建立或上傳的CSR,且系統會自動匹配對應認證檔案的CSR。CSR相關操作和說明,請參見手動建立或上傳CSR。
說明如果上傳認證相關檔案後提示“認證與私密金鑰不匹配”,可能是因為私密金鑰檔案格式不正確或受密碼保護。可以使用
openssl rsa -in <原私密金鑰檔案名稱> -out <自訂現私密金鑰檔案名稱>命令將其轉換後再進行上傳。憑證鏈結
可選。填寫中間認證或根憑證(PEM編碼)。
說明如果已填寫完整憑證鏈結,該配置項可直接跳過。
上傳檔案解析(推薦)
單擊上傳檔案解析,並選擇儲存在本機電腦的憑證鏈結檔案,檔案內容將會自動解析至文字框。
手動填寫
使用文本編輯工具開啟PEM或者CRT格式的憑證鏈結檔案,複製其中的內容並粘貼到該文字框。憑證鏈結內容填寫格式:
中間認證或根憑證
中間認證(①)和根憑證(②)
資源群組
可選。根據資源管理原則進行配置。
標籤鍵、標籤值
可選。根據資源管理原則進行配置。
國密(SM2)標準
參數
說明
認證標準
此處選擇國密(SM2)標準。
認證名稱
填寫一個易於識別的名稱,例如
example.com-2024-sm2。認證檔案
填寫簽署憑證檔案內容(PEM編碼)。
單擊該文字框下的上傳檔案解析,選擇本地簽署憑證檔案上傳後解析至文字框。或直接開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框。
認證私密金鑰
填寫簽署憑證私密金鑰內容(PEM編碼)。
單擊該文字框下的上傳檔案解析,選擇本地簽署憑證私密金鑰上傳後解析至文字框。或直接開啟KEY格式的簽署憑證私密金鑰檔案,複製其中的內容並粘貼到該文字框。
加密認證
填寫加密認證檔案內容(PEM編碼)。
單擊該文字框下的上傳檔案解析,選擇本地加密認證檔案上傳後解析至文字框。或直接開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框。
加密私密金鑰
填寫加密認證私密金鑰內容(PEM編碼)。
單擊該文字框下的上傳檔案解析,選擇本地加密認證私密金鑰上傳後解析至文字框。或直接開啟KEY格式的簽署憑證私密金鑰檔案,複製其中的內容並粘貼到該文字框。
資源群組
可選。根據資源管理原則進行配置。
標籤鍵、標籤值
可選。根據資源管理原則進行配置。
步驟三:驗證上傳結果
上傳成功後,認證會出現在上傳證書列表中。如需移除,可在操作列單擊刪除。
刪除操作不可恢複,僅從列表移除,不會影響已部署的認證。
PCA認證批量同步到SSL認證
如果使用阿里雲私人憑證授權單位(PCA)簽發認證,可將其批量同步至SSL證書管理,無需手動上傳。
步驟一:在控制台同步認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
選擇私有CA頁簽,在列表中展開目標根CA,在子CA的操作欄,單擊證書列表。
勾選認證列表中的認證後,單擊批量遷移到SSL認證,在彈出提示框中單擊確定,等待同步結束,狀態一欄顯示為上傳成功即可。
步驟二:驗證同步結果
同步成功後,可前往頁簽,在列表中查看已上傳的PCA認證。
共用SSL認證至其他阿里雲帳號
在阿里雲購買的認證,可免費共用給同一實名認證主體下的其他阿里雲帳號,以實現認證複用和統一結算。
步驟一:確認共用限制條件
實名認證一致:共用雙方的阿里雲帳號必須屬於同一個實名認證主體。
認證來源:僅限在阿里雲購買並簽發的認證,不支援上傳或同步的認證。
共用限制:認證只能共用一次。即A帳號共用給B帳號後,B帳號不能再將此認證共用給C帳號。
步驟二:在控制台共用認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽,定位到已簽發且需要共用的認證,在操作列,單擊更多。
在分享認證頁簽中的帳號ID輸入框,輸入要共用的阿里雲帳號ID,單擊確認分享。
步驟三:驗證共用結果
共用成功後,使用被共用的阿里雲帳號登入數位憑證管理服務控制台,可在SSL證書管理頁面的上傳證書頁簽查看被共用的認證(在狀態列顯示
表徵圖)。
共用的認證無法下載或再次分享給其他阿里雲帳號。
更多操作
管理待處理事項
查看待處理事項
切換至上傳證書頁簽時,如果在已上傳的認證中檢測到存在未開啟到期提醒、剩餘額度/所需額度、未部署雲產品和待續約等事項,控制台將會彈出待處理事項彈窗,提醒處理相關事項。
可通過,再次喚起待處理事項彈窗。
如果暫時不需要處理以上待辦事項,可以勾選7天內不再提醒後關閉,以減少相應的提醒頻率。
管理待處理事項
彈窗會展示相應事項的具體待處理數量和可執行操作,可進行以下操作:
認證未開啟訊息提醒
剩餘額度/所需額度:顯示當前的訊息提醒資源數資訊。額度不足時,單擊購買,前往購買訊息提醒資源。
一鍵提醒:篩選並選中認證列表中狀態為認證未開啟訊息提醒的認證,單擊列表下方的訊息提醒按鈕,開啟訊息提醒。
說明開啟訊息提醒,將消耗對應數量的訊息提醒資源額度,如果當前額度不足,需要購買訊息提醒資源。
未部署雲產品
前往部署:系統將引導建立雲產品部署任務,將認證部署至對應的雲產品。更多雲產品部署操作,請參見部署認證至阿里雲的雲產品(不含ECS和Simple Application Server) — 雲產品部署。
認證待續約
一鍵續約:篩選並選中認證列表中狀態為認證待續約的認證,點擊對應認證操作列的更新證書,完成後續的續約操作。
查看認證風險提示
如果上傳的私人CA認證有效期間過長(超過1年),系統將會在對應認證的有效期間限一欄提示相應的泄露風險。可將滑鼠移至上方在有泄露風險標籤上,根據彈出提示處理。
建議在簽發私人CA認證時,有效期間設定不要超過1年,以減少密鑰泄露風險。
最佳實務
命名規範:為認證設定包含網域名稱、年份和演算法的名稱,如
example.com-2024-rsa2048,便於識別和審計。標籤管理:為認證添加專案、環境(生產/測試)等標籤,實現分類管理和成本分攤。
有效期間管理:建議私人CA簽發的認證有效期間不超過1年,以降低密鑰泄露風險。開啟認證到期提醒,並提前30天規劃續期。
常見問題
上傳時提示"認證與私密金鑰不匹配"怎麼辦?
該錯誤表示提供的認證公開金鑰與私密金鑰檔案並非一對。請按以下步驟排查:
確認檔案正確性:檢查是否選錯了檔案,例如將A網域名稱的認證與B網域名稱的私密金鑰一起上傳。
執行匹配驗證:使用驗證認證與私密金鑰匹配中的
openssl命令,嚴格驗證認證和私密金鑰的模數(modulus)或公開金鑰指紋是否一致。檢查私密金鑰密碼:如果私密金鑰檔案被密碼保護,會導致平台無法讀取。請使用命令
openssl rsa -in encrypted.key -out decrypted.key移除密碼後重試。
上傳認證失敗,提示"認證格式不正確"是什麼原因?
平台僅支援上傳PEM編碼格式的認證檔案。
如果認證是PFX、P12等其他格式,請參考確認認證格式中的轉換操作,將其轉換為PEM格式後再上傳。確保複製的內容包含完整的-----BEGIN...-----和-----END...-----標記。
共用認證時失敗是什麼原因?
請檢查以下常見原因:
實名認證不一致:共用雙方的帳號必須屬於同一個個人或企業主體。
認證來源不支援:只有在阿里雲購買的認證才能共用。本地上傳或從PCA同步的認證不支援此功能。
跨網站共用:中國站和國際站的帳號之間無法互相共用認證。