华为云用户手册

  • 云证书管理服务 CCM-如何解决SSL证书链不完整?
    如何解决SSL证书链不完整? 如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书。使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链,以华为的证书为例,手工构造完整的证书链步骤如下: 查看证书。单击浏览器前的锁,可查看证书状况,如图1所示。 图1 查看证书 查看证书链。单击“证书”,并选中“证书路径”页签,可单击证书名称查看证书状态,如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称,单击“详细信息”页签,如图3所示。 图3 详细信息 单击“复制到文件”,按照界面提示,单击“下一步”。 选择“Base64编码”,单击“下一步”,如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后,用记事本打开证书文件,按图5重组证书顺序,完成证书重构。 图5 证书重构 重新上传证书。 父主题: 问题排查类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书可以跨区域、跨帐号或跨平台使用吗?:SSL证书是否可以跨帐号使用
    SSL证书是否可以跨帐号使用 可以。 SSL证书签发后,可跨帐号进行使用。 示例1: A帐号购买的SSL证书,证书签发后可以给B帐号的服务器使用。 因为证书是绑定域名,所以,要求域名和证书绑定的域名一致,否则会报不安全。 示例2: A帐号下的证书可以使用部署功能将证书部署的A帐号下的其他云产品,比如WAF、ELB、CDN等。 但是,A帐号下的证书不能跨帐号部署到B帐号下的产品。 如需在B帐号下使用A帐号中申请的证书,则可先将A帐号中申请的证书下载后,再在B帐号中进行使用。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书管理与私有证书管理的区别?:SCM与PCA的区别
    SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理(SCM) SSL证书采用SSL协议进行通信,SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。 网站身份验证,确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道,保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”,网站没有安装SSL证书,浏览器将会将其列为不安全的网站,网站用户也就无法信任您网站的安全性,安装了SSL证书就代表您的网站是“安全”的,网站用户可以放心访问您的网站。特别是OV或EV型证书,CA颁发机构在签发证书前会验证域名所有者及其企业信息,可以有效提升网站可信度。 网站数据加密 通常网站数据传输使用的HTTP协议,无法加密数据,导致数据有泄露和被窃听、篡改的风险,SSL证书可以让您的网站采用HTTPS加密通讯,有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务,可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中,为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议,快速动态加载网页内容,可以为网站服务提速。 高 不可以,SSL证书只能用于公网域名。 私有证书管理(PCA) 支持用户建立完整的CA层次体系,包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书,用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系,在企业内部签发和管理自签名私有证书,实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务,为每台车辆终端颁发证书,提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务,为每台IoT设备颁发证书,并通过IoT平台联动PCA,实现IoT设备的身份校验与认证,保障IoT场景下设备接入安全。 较低 可以,私有证书可以部署到内网使用。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书管理与私有证书管理的区别?:概念
    概念 SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Sockets Layer)证书管理平台。它是由华为云联合全球知名数字证书服务机构(CA,Certificate Authority),在华为云平台上为您提供一站式SSL证书的全生命周期管理服务,实现网站的可信认证与安全数据传输。 私有证书管理(Private Certificate Authority,PCA)是一个私有CA和私有证书管理平台。您可以通过简单的可视化操作,建立自己完整的CA层次体系并使用它签发证书,实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-系统生成的CSR和自己生成CSR的区别?
    系统生成的CSR和自己生成CSR的区别? 证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取SSL证书,需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。 申请证书时,需要设置“证书请求文件”,您可以选择“系统生成的CSR”,也可手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。两者之间的区别如表1所示。 表1 CSR的比较 证书请求文件 说明 区别 系统生成的CSR 系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。 选择“系统生成CSR”,在数字证书颁发后还可以支持不同格式的证书下载。 “系统生成CSR”,下载证书后,证书文件“server.jks”和密码文件“keystorePass.txt”已自动生成好,可以直接安装使用。 自己生成CSR 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。 详细操作请参见如何制作CSR文件?。 “自己生成CSR”的证书不支持一键部署到云产品。 手动生成CSR文件的同时会生成私钥文件,请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应,一旦丢失了私钥,您的数字证书也将不可使用。华为云不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。 “自己生成CSR”,下载证书后,需要使用OpenSSL工具,将pem格式证书转换为PFX格式证书,得到“server.pfx”文件,再使用Keytool工具,将PFX格式证书文件转换成JKS格式,得到“server.jks”证书文件和“keystorePass.txt”密码文件,然后才可以安装部署。 根据以上的比较,建议您选择“系统生成CSR”,可以规避CSR内容不正确而导致证书审核失败。 父主题: 域名填写类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书管理高频常见问题:SSL证书安装与应用
    SSL证书安装与应用 将SSL证书应用到华为云产品中 非华为云SSL证书如何配置到华为云服务中? 如何将证书应用到华为云产品? 部署证书到云产品 将SSL证书部署到服务器上使用 下载证书 如何在服务器上安装SSL证书? SSL证书支持在哪些服务器上部署? SSL证书支持在哪些地域部署? 宝塔搭建的网站如何在后台添加SSL证书? SSL证书的安装和配置提供咨询服务吗? 部署了SSL证书后问题排查 部署了SSL证书后,为什么网站仍然提示不安全? 部署了SSL证书后,为什么通过域名无法访问网站? 为什么安装了SSL证书后,https访问速度变慢了? 为什么配置了SSL证书仍存在用户访问时提示不受信任? 证书部署后,浏览器是否会弹出不安全提示? 如何解决证书链不完整?
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书提交申请后需要做什么?:OV、OVPro型或EV、EV Pro型证书
    OV、OVPro型或EV、EV Pro型证书 如果您购买的是OV、OVPro或EV、EV Pro类型证书,成功购买证书后,您需要按照SSL证书管理控制台该证书的“状态/申请进度”提示,完成“申请证书”、“域名验证”、“组织验证”。 以上操作完成后,您只需要耐心等待,CA机构(证书的签发方)可能还需要一段时间审核。CA机构审核通过后,您的数字证书将会签发。 如果审核期间有任何问题,CA中心的客服人员会通过电话联系您并指导您进行相关操作,请务必确保您的联系电话在审核期间保持畅通。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何将SSL证书应用到华为云产品?:约束条件
    约束条件 更新SSL证书到ELB时,有以下几点限制条件,请您提前确认: 您已在ELB中配置过证书,即您需要先在ELB服务中完成首次证书的配置,才能通过SCM服务更新证书。ELB中创建证书详细操作请参见创建证书。 通过SCM更新ELB中的证书,可以更新部署在ELB监听器下证书,即在SCM控制台更新对应ELB中证书的内容及私钥,更新成功后,ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书,需要指定域名,才可在SCM中完成更新证书的操作。 ELB中使用的证书若指定了多个域名,更新证书前需要注意SCM证书的域名与其是否完全匹配。若不完全匹配,则在SCM中执行更新证书操作后,会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例:SCM中证书的主域名及附加域名为example01.com,example02.com,ELB中证书的域名为example01.com,example03.com,在SCM中执行更新证书操作后,会将该ELB中证书的域名更新为example01.com,example02.com。 目前,SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目,则无法直接部署,您可以先将证书下载到本地,然后再到WAF控制台上传证书并进行部署。 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书并进行部署。 证书为国际标准SSL证书。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-申请SSL证书时应该使用哪个域名?
    申请SSL证书时应该使用哪个域名? 关于申请SSL数字证书时应该如何选择申请域名,本文将通过一个简单的示例进行描述。 例如,您的网站为“www.domain.com”。其中,有一个用户登录页面“http://www.domain.com/login.asp”,您想要申请一张SSL数字证书确保用户输入用户名和密码时的安全,确保用户信息不会在传输过程中被非法窃取。同时,还有一个用户登录的信息管理页面“http://www.domain.com/oa/manage.asp”,您也希望使用SSL数字证书来保障内部管理系统中的机密信息的安全。这种情况下,您使用域名“www.domain.com”申请SSL数字证书即可实现对这类页面的保护。 如果您的网站访问量较大,建议您为需要使用SSL数字证书的页面设置一个独立的Web服务器(HTTP server),并使用一个独立的域名来申请SSL数字证书,例如:secure.domain.com或ssl.domain.com。 “https://”的使用必须与申请SSL数字证书的域名一致,否则浏览器可能会出现“安全证书上的名称无效,或者与站点名称不匹配”警告。请根据您网站的具体情况使用合适的域名来申请SSL数字证书。 父主题: 域名填写类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-提交SSL证书申请后,发现证书信息填写错误或变更怎么办?:提交SSL证书申请后,发现证书信息错误或变更怎么办
    提交SSL证书申请后,发现证书信息错误或变更怎么办 判断错误的信息是否会影响证书的审核或使用。 是,执行2。 否,请根据实际情况进行处理。 未签发:请继续执行后续操作,等待证书的审核。 已签发:无需处理,可正常使用证书。 查看证书是否签发。 证书未签发 提交证书申请后,发现证书信息填写错误或变更,可撤回申请。 具体的操作请参见撤回证书申请。 证书已签发 证书已签发且在规定时间内(GlobalSign品牌:证书签发后的5天内,DigiCert品牌和GeoTrust品牌:证书签发后的25天内),如果发现证书信息填写错误或变更,“单域名”和“泛域名”证书可通过重新签发功能来进行修改,具体操作请参见重新签发,“多域名”证书、免费证书不支持重新签发,您需要重新购买证书,具体操作请参见购买证书。 证书已签发且已超过规定时间(GlobalSign品牌:证书签发后的5天内,DigiCert品牌和GeoTrust品牌:证书签发后的25天内),如果发现证书信息填写错误或变更,则需要重新购买证书。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书与域名的关系?:一个SSL证书能够绑定几个域名
    一个SSL证书能够绑定几个域名 用户在购买证书时,需要根据实际情况选择域名类型。域名类型不同,支持绑定的域名数量也差异。具体的情况如表1所示。 表1 不同的域名类型可绑定的域名数量 证书类型 支持的域名类型 可绑定的域名数量 OV、OV Pro 单域名 1个。 多域名 域名数量范围为“2~250”,支持最多绑定250个域名。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名?。 EV、EV Pro 单域名 1个。 多域名 域名数量范围为“2~250”,支持最多绑定250个域名。 DV 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名?。 DV基础版(GeoTrust入门级SSL证书) 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名?。 DV基础版(DigiCert免费SSL证书) 单域名 1个。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何进行手动DNS验证?:步骤四:查看域名验证是否生效
    步骤四:查看域名验证是否生效 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。 根据不同的记录类型,选择执行表 验证命令所示命令,查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图4所示,说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值,显示为“Non-existent domain”,说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长,生效时间还未到,因此无法查询到数据。 请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如下图所示。 若配置的生效时间未到,请等时间到了后再进行验证。 图7 生效时间
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何进行手动DNS验证?:DV证书DNS验证失败如何处理?
    DV证书DNS验证失败如何处理? 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-哪些网站必须启用HTTPS加密?
    哪些网站必须启用HTTPS加密? 在越来越重视信息安全的今天,HTTPS协议站点无疑已经成为主流。就目前形势而言,以下网站必须启用HTTPS协议加密: 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看,HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型,启用HTTPS协议加密既是网站安全的必然需要,也是公司发展的提前布局。 父主题: 证书咨询
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何进行手动DNS验证?:步骤一:确认验证步骤
    步骤一:确认验证步骤 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析。请根据域名管理平台类型执行验证步骤: 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS? 是。请执行以下操作步骤: 请参见怎样把域名从其他服务商迁移到华为云DNS?,把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-域名的相关概念
    域名的相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如:“*.a.com”是正确的泛域名,但“*.*.a.com”则是不正确的。 一个泛域名算一个域名。关于泛域名的匹配关系,请参考泛域名证书支持哪些域名?。 普通域名 普通域名是相对泛域名来说的,是一个具体的域名或者说不是通配符域名。 例如:“www.a.com”或“a.com”都算一个普通域名。 普通域名能绑定的数量,取决于您证书订单中选择的域名个数。 如“buy.example.com”或“next.buy.example.com”各个明细子域名都算一个域名。 域名级别 域名由一或多个部分组成,这些部分通常连接在一起,并由点分隔,例如www.huaweicloud.com。最右边的一个标签是顶级域名,一个域名的层次结构,从右侧到左侧隔一个点依次下降一层。 域名的第一级是顶级域名,顶级域名下一层是二级域名,一级一级地往下。域名层次结构具体划分情况如表1所示。 表1 域名层级结构 参数名称 参数说明 顶级域名 域名中最高的一级,每个域名都以顶级域结尾。它包括通用顶级域(例如.com、.net、.org等)、国际和地区顶级域(例如.us、.cn、.tk等)和新通用顶级域名(例如.info、.biz等)。 二级域名 顶级域名下面是二级域名,它位于顶级域名的左侧。例如,在example.com中,example是二级域名。 三级域名 二级域名下面是三级域名,它位于二级域的左侧。例如,在www.example.com中,www是三级域名。 以此类推,在上一级域名最左侧进行域名级别的拓展。 以abc.huaweicloud.com为例,进行域名层次结构说明: .com为顶级域名。 huaweicloud.com为1个二级域名。 abc.huaweicloud.com为1个三级域名。 父主题: 域名填写类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-为什么要使用无密码保护的私钥?:什么样的私钥是有密码保护的
    什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件,如果私钥文件是如下样式,则说明您的私钥是已加载密码保护的: PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY-----......BASE64 私钥内容......-----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容......-----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的,您可以转换成无密码的密钥文件。关于具体转换方式,请参考主流数字证书有哪些格式?。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-私有证书签发后,能否停用私有CA?
    私有证书签发后,能否停用私有CA? 您可以根据实际情况选择以下方法停用私有CA的部分功能或者停用私有CA: 如果您不再需要使用某个私有CA来签发证书,但需要保留其吊销证书和签发证书吊销列表的功能,您可以禁用该私有CA。禁用私有CA后,其下所有证书使用不受影响。禁用私有CA详细操作请参见禁用私有CA。 私有CA禁用期间也将持续计费。 如果您不再需要使用某个私有CA,您可以删除该私有CA。删除私有CA后,将不再计费,其下已经导出的证书(未被吊销)仍可使用,但该私有CA下的所有证书都将无法执行“吊销”操作,无法再更新证书吊销列表,并且该私有CA和其子CA下所有私有证书将无法执行“导出”操作。删除私有CA详细操作请参见计划删除私有CA。 父主题: 私有证书使用类
    云证书管理服务 CCM 私有证书使用类
  • 云证书管理服务 CCM-为什么要使用无密码保护的私钥?:如何去除私钥密码保护
    如何去除私钥密码保护 如果您的密钥已经加载密码保护,可以通过OpenSSL工具运行以下命令去掉密码保护: openssl rsa -in encryedprivate.key -out unencryed.key 其中,“encryedprivate.key”是带密码保护的私钥文件;“unencryed.key”是去掉了密码保护的私钥文件,扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥,当需要将该证书部署给CDN时,需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的,即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式,则需要使用工具转换证书的格式。具体转换方式,请参考主流数字证书有哪些格式?。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-购买或续费选择的多年期证书,为什么新证书的有效期只有1年?
    购买或续费选择的多年期证书,为什么新证书的有效期只有1年? 自2020年9月1日起,全球CA机构颁发的SSL证书有效期最长只有1年。 华为云云证书管理服务提供的多年有效期的SSL证书是一次购买多年SSL证书的解决方案,多年有效期SSL证书实际为多张有效期为1年的SSL证书依次生效,例如您购买或续费的有效期为“2年”的证书,实际包含2张有效期为1年且规格相同的证书,在第一张证书1年有效期到期前30天,系统会自动以您第一张证书的信息为您申请第二张证书。 父主题: 证书有效期
    云证书管理服务 CCM
  • 云证书管理服务 CCM-DV证书DNS验证失败该如何处理?
    DV证书DNS验证失败该如何处理? DV证书通过云证书管理控制台“验证”功能校验DNS解析结果时,验证失败,请参照下表提示进行排查处理后重新验证: 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。 父主题: 验证域名所有权
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书是否支持续费?:续费限制说明
    续费限制说明 手动续费操作入口仅在SSL证书到期前30个自然日内开放,其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的,已签发且即将到期的付费SSL证书进续费,上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格(即证书品牌、证书类型、域名类型、域名数量、主域名)完全相同的证书。 开启自动续费后,系统会在原证书即将到期前30天内自动为您购买一张相同规格的新证书,并且以原证书的申请信息提交证书申请,由于证书申请需要校验申请者的域名所有权、身份,因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。 续费证书与原证书为独立的两张证书,因此续费证书签发后您需要安装到Web服务器或部署到华为云产品。 续费签发的新证书有效期为续费有效期(如1年)加上原证书剩余有效期。例如,您已签发的1年有效期证书将于2022年11月30日过期,如果您在2022年11月25日完成续费购买和签发,则续费签发证书的有效期将在2023年11月25日的基础上再加上5天,即2023年11月30日。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期,新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格(即证书品牌、证书类型、域名类型、域名数量、主域名)不完全相同,则新签发证书的有效期为一年(可能与原证书过期前未使用的有效期存在重合),无法自动补齐原证书剩余的有效期。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-SSL证书是如何收费的?
    SSL证书是如何收费的? SSL证书管理服务为您提供了一种证书品牌为DigiCert品牌、证书类型为DV(Basic)、域名类型为单域名的用于测试的免费证书。关于免费证书的相关信息请参考申请免费证书。 除此之外,SSL证书管理服务会根据您选择的证书类型、证书品牌、域名类型、域名数量和购买时长进行收费。 详细的服务资费费率标准,请参见产品价格详情。 上传证书到SSL证书管理中进行集中管理,管理上传证书暂不收费。 父主题: 计费、续费与退订
    云证书管理服务 CCM
  • 云证书管理服务 CCM-在控制台访问SSL证书管理服务时,为什么服务显示没有权限访问或操作按钮显示为灰色?
    在控制台访问SSL证书管理服务时,为什么服务显示没有权限访问或操作按钮显示为灰色? 在控制台访问SSL证书管理服务时,出现服务显示没有权限访问或操作按钮显示为灰色的情况,请参照以下步骤进行处理: 在SSL证书管理服务中,无论是您的帐号权限不足还是帐号欠费,系统均会提示您没有执行此操作的权限。 如果您的权限不足,请联系您的管理员开通权限。开通后,再执行相应操作。 如果您的帐号已欠费,请您进行充值。充值后,再执行相应操作。 父主题: 证书咨询
    云证书管理服务 CCM
  • 云证书管理服务 CCM-证书链配置说明
    证书链配置说明 上传证书到SSL证书管理中进行统一管理时,需要单独导入证书、证书链和私钥,并需要以PEM格式进行编码。 以下将以示例方式对证书文件格式进行说明。 如果您在编辑PEM文件时,将PEM文件中的任何字符编辑错误,或者在任何行的末尾添加一个或多个空格,则将导致证书、证书链或私钥无效,因此,请谨慎操作。 示例1:PEM编码的证书 图1 PEM编码的证书 示例2:PEM编码的证书链 一个证书链包含一个或多个证书。您可以使用文本编辑器将您的证书文件连接成一个链。证书必须按顺序连接,以便每个证书都直接证明前一个证书。 以下示例包含三个证书,您的证书链可能包含更多或更少。 图2 PEM编码的证书链 示例3:PEM编码的私钥(仅限私有证书) X.509版本3的证书使用公钥算法,因此,当您创建X.509证书或证书请求时,需要指定必须用于创建私钥-公钥对的算法和密钥位大小,并且需要将公钥放置在证书或请求中。 同时,您需要自行保留私钥密码。在导入证书时需要私钥,此时,私钥必须是未加密的,更多详细介绍请参见为什么要使用无密码保护的私钥?。 以下示例为PEM编码的RSA私钥: 以下示例为PEM编码的椭圆曲线私钥。根据您创建密钥的方式,可能不包括参数块。如果包含参数块,在导入过程中使用密钥之前将其删除。 父主题: SSL证书管理类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-为什么安装了SSL证书后,https访问速度变慢了?
    为什么安装了SSL证书后,https访问速度变慢了? 安装了SSL证书后,访问网站时,HTTPS比HTTP要多几次握手的时间,HTTPS协议握手阶段比较费时,同时还要进行RSA校验,因此使用了SSL证书后,相较于HTTP访问,访问速度变慢了。 另外,会增加服务器CPU的处理负担,因为要为每一个SSL链接实现加密和解密,但一般不会影响太大。 为了减轻服务器的负担,建议注意以下几点: 仅为需要加密的页面使用SSL,如“https://www.domain.com/login.asp”,不要把所有页面都使用“https://”,特别是访问量大的首页。 尽量不要在使用了SSL的页面上设计大块的图片文件或者其他大文件,尽量使用简洁的文字页面。 父主题: 问题排查类
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何在服务器上安装SSL证书?:如何在服务器上安装SSL证书
    如何在服务器上安装SSL证书 SSL证书签发后,即可下载并安装Web服务器,在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书,您可以参考表1。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 由于服务器系统版本或服务器环境配置不同,在安装SSL证书过程中使用的命令或修改的配置文件信息可能会略有不同,云证书管理服务提供的安装证书示例,仅供参考,请以您的实际情况为准。 若参考文档安装证书后,HTTPS仍然不生效或遇到其他问题,请单击一对一咨询购买SSL证书配置优化服务,联系专业工程师为您排查具体问题。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-续费SSL证书后,还需要重新安装SSL证书吗?
    续费SSL证书后,还需要重新安装SSL证书吗? 需要重新安装SSL证书。 CA机构签发的每张SSL证书有效期最长只有1年,SSL证书到期后就会失效。 SSL证书续费操作相当于重新购买一张与原证书规格(即证书品牌、证书类型、域名类型、域名数量、主域名)完全相同的证书。因此,您需要将续费签发的新证书安装到您的Web服务器或部署到您在使用中的华为云产品(WAF/ELB/CBN)替换已过期的旧证书。 在华为其他云产品部署证书操作详情请参考如何将SSL证书应用到华为云产品? 在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书,您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 父主题: 计费、续费与退订
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何增加、解绑、替换或修改SSL证书域名?:替换或修改SSL证书绑定的域名
    替换或修改SSL证书绑定的域名 证书未签发 如果证书未签发,需要替换或修改当前证书绑定的域名,可以撤回证书申请,具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后,需要替换或修改当前证书绑定的域名,“单域名”和“泛域名”证书可以重新签发证书,“多域名”证书不支持替换或修改证书绑定的域名,您需要重新购买证书。 证书签发后,各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制: GlobalSign品牌:5天。 DigiCert品牌和GeoTrust品牌:25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌:25天。 在规定时间内,“单域名”和“泛域名”证书可重新签发的次数不限,超过各证书品牌的规定的时间,将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。
    云证书管理服务 CCM
  • 云证书管理服务 CCM-如何增加、解绑、替换或修改SSL证书域名?:解绑SSL证书绑定的域名
    解绑SSL证书绑定的域名 证书未签发 如果证书未签发,需要解绑当前证书绑定的域名并绑定新的域名,可以撤回证书申请,具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后,需要解绑当前证书绑定的域名并绑定新的域名,“单域名”和“泛域名”证书可以重新签发证书,“多域名”证书不支持解绑证书绑定的域名,您需要重新购买证书。 证书签发后,各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制: GlobalSign品牌:5天。 DigiCert品牌和GeoTrust品牌:25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌:25天。 在规定时间内,“单域名”和“泛域名”证书可重新签发的次数不限,超过各证书品牌的规定的时间,将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。
    云证书管理服务 CCM
共100000条
undefined

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
精选内容
推荐文章