CDN

证书管理

最近更新时间:2017-12-21 21:20:11

证书管理

本文档主要介绍CDN控制台高级工具中的证书管理:

证书管理简介

您可以对已经接入CDN的域名进行 HTTPS 证书配置,CDN支持上传您的自定义证书进行部署,也可以选择已有证书进行部署。

您可以前往金山云证书管理页面,申请免费证书或购买企业级证书,证书的配置方法请参考证书管理(KCM)官网文档

证书管理使用说明

配置证书

若您已有证书,可直接上传至CDN页面进行证书配置。登录CDN控制台,在高级工具中找到证书管理页面,点击【配置证书】:

1.选择域名

在配置证书详情页面,从域名下拉列表框中选择需要配置证书的加速域名:

注意:

域名需要已经接入 CDN,且状态为配置中正常运行,关闭状态的域名无法部署证书。

2.填写证书名称

填写此证书的名称:

注意:

证书的名称不能修改。

3.选择证书

选择证书时,证书来源分为两种:

  • 上传自定义证书

自定义证书为用户自有的证书(包括从金山云购买的证书),选中【上传自定义证书】,将证书内容和密钥内容粘贴到文本框中:

服务器证书:

证书扩展名一般为“.pem”,“.crt”或“.cer”,证书 PEM 格式:以“-----BEGIN CERTIFICATE-----”作为开头, “-----END CERTIFICATE-----” 作为结尾。中间的内容每行 64 字符,最后一行长度可以不足 64 字符。

私钥:

私钥扩展名一般为“.pem”或“.key”,私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行 64 字符,最后一行长度可以不足 64 字符。

通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务器证书与中间证书拼接在一起上传。

  • 选择已有证书

已有证书为配置过的已绑定了域名的证书,选择域名后,选中【选择已有证书】,即可看到下拉列表中过滤出可用于部署该域名的证书:

4.相关操作

配置成功后,您可以在【证书管理】页面看到已经配置成功的域名及证书情况:

查询证书

请在搜索框中输入证书名称和域名查询所需证书:

编辑证书

对于已经配置成功的证书,可以通过【编辑】按钮无缝更新证书,您需要重新上传证书,即将证书内容、私钥内容粘贴入对应文本框。

注意:

编辑证书提交后,部署过程为无缝覆盖,不会影响您的业务使用。

删除证书

在证书管理页面,可通过点击【删除】将证书删除:

注意:

证书状态为使用中(即证书已经被域名绑定)不得删除。

上传证书样例说明

Https证书配置说明 CDN目前只支持做pem格式的证书。

服务器证书样例如下:

-----BEGIN CERTIFICATE-----
MIIDCjCCAnOgAwIBAgIJAOZDywH2LkIYMA0GCSqGSIb3DQEBBQUAMGIxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQxGzAZBgNVBAMTEnBpYzExMTExLmJhaWR1LmNvbTAeFw0x
NzA0MjcwMjU5NDdaFw0xNzA1MjcwMjU5NDdaMGIxCzAJBgNVBAYTAkFVMRMwEQYD
VQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBXaWRnaXRzIFB0eSBM
dGQxGzAZBgNVBAMTEnBpYzExMTExLmJhaWR1LmNvbTCBnzANBgkqhkiG9w0BAQEF
AAOBjQAwgYkCgYEAshiJyxYSMzRTs6SFQgsGpK4vt7aWn59p4t9NC8fwz8jc6Jdg
+IbxSrcj502Pif5idE5sUQw58UkbQtMqll14TbLc8x0axrSa6RRIvXCGcbNFEpp
l3yELOc+MrePasD82e1NnFtuIdey30L5ohnNxLbf5QDfmlDOdrGgQjz37+ECAwEA
AaOBxzCBxDAdBgNVHQ4EFgQU3/8hdWH5VMHLLZteZJ69JT9t7UwwgZQGA1UdIwSB
jDCBiYAU3/8hdWH5VMHLLZteZJ69JT9t7UyhZqRkMGIxCzAJBgNVBAYTAkFVMRMw
EQYDVQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBXaWRnaXRzIFB0
eSBMdGQxGzAZBgNVBAMTEnBpYzExMTExLmJhaWR1LmNvbYIJAOZDywH2LkIYMAwG
A1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADgYEAQQMyYqCbmNgQ/J0eF+lhRlG6
r5Z48kCDfbO8q6wCT7zQ7hN82hwDSzB7eBfDRM+nDql2EpUqa65mNqo8CWjSf4MV
4ZnG7N84wCShb+vk26oVwFQVlddOxiHND1WMNO5zPcMyi2MQffyYGeJ/ki4cJSII
RAbXK4SCzoLAPTQ3C4c=
-----END CERTIFICATE-----

证书规则

*以[-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----] 开头和结尾;请将这些内容一并上传;

*每行64字符,最后一行不超过64字符。

私钥样例如下:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

私钥规则

*以[-----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY-----] 开头结尾。请将这些内容一并上传;

*每行64字符,最后一行长度可以不足64字符。

非PEM证书的格式转换

目前 CDN 只支持PEM格式的证书,其他格式的证书需要转换成PEM格式后才能上传。您可以通过 openssl 工具进行转换。

DER转换为PEM

DER格式一般出现在java平台中。

  • 证书转换:

    openssl x509 -inform der -in dercert.cer -out cert.pem
  • 私钥转换:

    openssl rsa -inform DER -outform PEM -in derprivatekey.der -out privatekey.pem

    P7B转换为PEM

P7B格式一般出现在windows server和tomcat中。

  • 证书转换:

    openssl pkcs7 -print_certs -in p7bcert.p7b -out cert.cer

    获取outcertificat.cer里面 [-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----] 的内容作为证书上传。

  • 私钥转换: 无私钥

PFX转换为PEM

PFX格式一般出现在windows server中。

  • 证书转换:

    openssl pkcs12 -in pfxcert.pfx -nokeys -out cert.pem
  • 私钥转换:

    openssl pkcs12 -in pfxcert.pfx -nocerts -nodes -out privatekey.pem 

金山云,开启您的云计算之旅

立即注册