华为云用户手册

增加SSL证书绑定的域名 如果您购买的是单域名类型的SSL证书： 需要重新购买证书。 如果您购买的是多域名类型的SSL证书： 该证书有可追加附加域名的额度，则可为该证书增加附加域名。具体操作请参见新增附加域名。 该证书没有可追加附加域名的额度，需要重新购买证书。 如果您购买的是泛域名类型的SSL证书： 如果需要增加的域名与证书绑定的域名在同一级别，则无需增加该域名，直接使用即可。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定test.huaweicloud.com，则无需绑定，直接使用已有证书即可。 如果需要增加的域名与证书绑定的域名不在同一级别，则需要重新购买证书。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定abc.test.huaweicloud.com，则需要重新购买证书来绑定该域名。

私有证书的有效期是多久？ 私有证书的有效期是您根据申请证书时设置的有效期而定的。 私有证书由处于激活状态的CA进行签发，所以，私有证书有效期设置时须满足：私有证书有效期≤签发的私有CA有效期。 申请私有证书详细操作请参见申请私有证书。 图1 设置有效期 私有证书由处于激活状态的CA进行签发 证书申请成功后，可在私有证书列表页面查看证书到期时间，如图2所示。私有证书到期后，需重新申请。 图2 到期时间

SSL证书的安装和配置提供咨询服务吗？ 华为云云证书管理服务不提供SSL证书的安装和配置咨询服务。 华为云云证书管理服务提供了几种主流Web服务器安装国际标准SSL证书的示例，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 如果您在实际安装过程中遇到问题，由于您的实际业务环境需要人工排查，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师进行处理。 父主题： SSL证书安装类

吊销证书和删除证书的区别是什么？ 华为云SSL证书管理服务支持对证书进行吊销，也支持对证书进行删除。 证书的吊销和删除操作都不影响您再次购买证书。 两者的不同主要表现在以下两方面： 含义： 证书吊销：指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 证书删除：指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 限制条件： 证书吊销： 当您的证书状态为“已签发”，且您不需要使用证书，在证书私钥已丢失，或出于安全因素考虑等情况下，可申请吊销证书。 进入续费期的证书无法吊销，即证书到期前一个月内不支持吊销。 证书删除： 当您的证书状态为“已到期”、“托管中”、“已签发”的状态，可以在SCM的操作控制台执行删除操作。 父主题： SSL证书管理类

Windows系统如何验证DNS解析生效？ 如果您使用的是Windows操作系统，可参考本章节验证DNS验证是否生效。 提交证书申请后，您可以参考域名验证页面的提示完成域名DNS验证。 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表1 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图1所示，说明域名授权验证配置已经生效。 图1 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图2 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表2 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图3 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 若配置的生效时间未到，请等时间到了后再进行验证。 图4 生效时间 父主题： 验证域名所有权

证书格式转换 证书格式之间是可以互相转换的，如图1所示。 图1 证书格式转换 您可使用以下方式实现证书格式之间的转换： 将JKS格式证书转换为PFX格式 您可以使用JDK中自带的Keytool工具，将JKS格式证书文件转换成PFX格式。 例如，您可以执行以下命令将“server.jks”证书文件转换成“server.pfx”证书文件： keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12 将PFX格式证书转换为JKS格式 您可以使用JDK中自带的Keytool工具，将PFX格式证书文件转换成JKS格式。 例如，您可以执行以下命令将“server.pfx”证书文件转换成“server.jks”证书文件： keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS 将PEM/KEY/CRT格式证书转换为PFX格式 您可以使用OpenSSL工具，将KEY格式密钥文件和CRT格式公钥文件转换成PFX格式证书文件。 例如，将您的KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）复制至OpenSSL工具安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pfx”证书文件： openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 将PFX格式证书转换为PEM/KEY/CRT格式 您可以使用OpenSSL工具，将PFX格式证书文件转化为PEM格式证书文件、KEY格式密钥文件和CRT格式公钥文件。 例如，将您的PFX格式证书文件复制至OpenSSL安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pem”证书文件、KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）： openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt 此转换步骤是专用于通过OpenSSL工具生成私钥和CSR申请证书文件，并且通过此方法您还可以在获取到PEM格式证书公钥的情况下，分离出私钥。在您实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署。

操作步骤 打开浏览器，访问“https://whois.domaintools.com/”网站。 输入需要查询的域名，单击“Search”，进入域名注册信息详情页面。 在注册信息中，查看“Name Servers”，确认域名所属的DNS服务器。 当“Name Servers”显示如所图1示时，则表示域名所属的“DNS服务器”为华为云DNS。 图1 Name Servers 请根据域名所属的DNS服务器进行DNS验证，执行以下操作： 域名所属的“DNS服务器”为华为云DNS：请参见如何进行DNS验证？，在华为云的云解析服务上进行DNS验证。 域名所属的“DNS服务器”不是华为云DNS：请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是：请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 参见如何进行手动DNS验证？，在华为云的云解析服务上进行DNS验证。 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

查看证书文件的格式 您可以使用以下方法简单区分带有后缀扩展名的证书文件： *.DER或*.CER文件：这样的证书文件是二进制格式，只含有证书信息，不包含私钥。 *.CRT文件：这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与*.DER及*.CER证书文件相同。 *.PEM文件：这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。*.PEM文件如果只包含私钥，一般用*.KEY文件代替。 *.PFX或*.P12文件：这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。 您也可以使用记事本直接打开证书文件。如果显示的是规则的数字和字母，则表示该证书文件是文本格式。 举例： —–BEGIN CERTIFICATE—–MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......—–END CERTIFICATE—– 如果存在“——BEGIN CERTIFICATE——”，则说明这是一个证书文件。 如果存在“—–BEGIN RSA PRIVATE KEY—–”，则说明这是一个私钥文件。

申请SSL证书时，如何填写证书中绑定的域名？ SSL证书管理中的证书是绑定域名的，因此购买证书时，需要根据您的域名情况，选择对应的域名类型。 如果购买的是纯IP证书，则只需要绑定IP，在“域名信息”中，“绑定域名”请填写需要绑定的公网IP。 如果您想了解域名的相关概念，请参见域名的相关概念。 选择域名类型并成功购买证书后，需要将对应的域名绑定给已购买的证书，即需要在SSL证书管理控制台补全证书审核资料。而申请证书的第一步就是填写域名信息，将对应的域名绑定给已购买的证书。 SSL证书管理控制台会根据您购买的证书提示您需要输入的域名类型。 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live等敏感词，可能无法通过安全审核，建议选择OV或EV证书，目前已知敏感词请参见敏感词。 各域名类型具体说明如表1所示，更多参考内容可查看具体示例。 表1 绑定域名 参数名称 参数说明 单域名 仅可绑定1个普通域名。 绑定域名时，绑定1个普通域名即可。 多域名 可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。 例如，您购买的域名数量为3，则将其中1个域名设置为主域名，其他2个域名则设置为附加域名。 须知： 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 泛域名 仅可绑定1个泛域名。 绑定域名时，绑定1个含*的泛域名即可。 具体示例： 单域名型证书 当您购买的是单域名型证书，则仅支持绑定一个普通域名。 示例：您的域名为huaweicloud.com 申请证书时，则在“绑定域名”中填写huaweicloud.com即可，如图1所示。 图1 单域名绑定域名 多域名型证书 当您购买的是多域名型证书，则可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。附加域名可分批次多次录入，具体操作请参见新增附加域名。 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 示例：如果购买的是OV型SSL证书，域名数量为3，且您的域名为huaweicloud.com、test.huaweicloud.com和*.huaweicloud.cn 申请证书时，则在“绑定主域名”中填写huaweicloud.com，“绑定附加域名”填写test.huaweicloud.com和*.huaweicloud.cn。多个附加域名需要换行输入，如图2所示。 图2 多域名绑定域名 泛域名型证书 当您购买的是泛域名型证书，则支持绑定一个泛域名。 示例：您的域名为test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com、good.huaweicloud.com等，均在同一个级别 申请证书时，则在“绑定域名”中填写“*.huaweicloud.com”，如图3所示。 图3 泛域名绑定域名 父主题： 域名填写类

排查步骤 排除数字证书与终端不兼容的问题后，建议您按以下步骤进行检查： 首先建议您使用GlobalSign SSL Server Test工具进行检查： 如果检查结果中的证书品牌、证书类型、域名与您购买的不一致，请仔细检查服务器上数字证书的配置。 如果检查结果显示证书链不完整，请检查数字证书相关配置是否正确。 证书服务提供的PEM格式数字证书包含两段内容，两段内容中的任何一段都不能丢失。如果两段内容之间存在空白行，请删除空白行。配置修改完成后重启Web服务，并重新检查。 确保您的数字证书配置中已关闭了不安全的协议，如SSLv3等有已知隐患的协议。 检查您的网页中是否引用了一些HTTP资源。部分浏览器对HTTPS站点引用HTTP资源的情况会认为是不安全的。 如果一个域名有多台服务器，请您确认是否每台服务器都正确部署了证书。

操作步骤 证书申请中填写的域名是否已做实名认证。 如果域名已做实名认证，请执行2。 如果域名未做实名认证，请前往您的域名服务商处完成域名实名认证。 确认您已正确填写和提交证书申请订单。 如果填写确认无误，请执行3。 如果填写的信息有误，您可以取消申请。取消成功后，再提交证书申请。修改后，再执行3。 撤回申请详细操作请参见撤回证书申请。 提交证书申请详细操作请参见提交SSL证书申请。 确认您已按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“域名验证”、“组织验证”。 如果已完成，请执行4。 如果未完成，请按照提示进行操作。 域名验证详细操作请参见域名验证，域名验证完成后，请查看验证是否生效。 组织验证详细操作请参见组织验证。组织验证仅OV、OV Pro、EV、EV Pro类型证书需要。 查看域名验证是否生效。 具体验证方法请参见如何查看域名验证是否生效？。 如果已生效，请执行5。 如果未生效，请按照域名验证未生效如何处理？进行处理。 检查是否CAA（Certification Authority Authorization，证书颁发机构授权限制）限制了CA证书颁发。 是，您可以取消限制或者参考设置CAA记录防止错误颁发HTTPS证书添加一条CAA解析记录。 否，请执行6。 请您耐心等待。 申请证书后，CA机构将对您提交的信息进行审核。请您耐心等待。 审核期间，CA机构会通过电话联系您并指导您进行相关操作，请您务必保持手机畅通。如果CA机构无法及时联系到您，该订单的审核进度可能会延迟。 OV、EV类型证书审核时长 如果您购买的是OV或EV类型证书，请您需要耐心等待3~7个工作日。CA中心会在3~7个工作日内完成您的证书订单审核。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。如果CA中心无法及时联系到您，那么该订单的审核进度将可能会延迟。您的及时回复将能有效缩短SSL证书的验证时间。 DV类型或免费证书审核时长 域名授权验证完成后，CA中心将会在1~2个工作日内签发您的证书。 如果您的域名中包含某些敏感词（例如bank、pay、live等），可能会触发人工审核机制，审核时间会比较长，请您耐心等待。 免费证书申请后会在1~2个工作日内签发。根据CA中心审核流程耗时不同，您的证书有可能会在几个小时内就完成签发，也有可能需要2个工作日才能完成签发，请您耐心等待。

非华为云SSL证书如何配置到华为云服务中？ 非华为云证书是指在非华为云处申请的、并由CA机构签发的SSL证书，例如，在其他云服务提供商或线下证书供应商处申请的、并由CA机构签发的SSL证书。 SSL证书是由CA机构签发的，不论什么平台申请的都是一样的。 任何平台申请的或者任何品牌的SSL证书，只要是CA机构签发的均可在华为云中进行使用。但是，无法一键部署到WAF、ELB、CDN等云产品。因此，建议您使用在华为云平台申请的SSL证书，以便一键部署证书到对应云服务。部署后，可以帮助您提升云产品访问数据的安全性。 如需将非华为云SSL证书配置到华为云服务中，请根据需要选择具体操作： 表1 场景说明 场景 操作方法 将证书放在华为云的SSL证书管理中统一管理 上传到SSL证书管理中，详细操作请参见上传证书。 将证书配置到WAF、ELB、CDN中 SSL证书管理支持将证书一键部署到WAF、ELB、CDN，详细操作请参见部署证书。 将证书配置到其他华为云产品中 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 此处以将SSL证书运用到云速建站中为例进行说明。 通过SSL证书管理下载已签发的证书。 下载证书具体操作请参见下载证书。 在云速建站中进行配置。 具体操作请参见添加SSL证书。 配置过程中如有问题，请参考相应服务文档进行处理或咨询对应服务。 另外，如果您需要将证书配置到服务器上，请根据服务器类型进行配置。具体操作请参见如何在服务器上安装SSL证书？。 父主题： SSL证书应用类

证书格式转换为PEM格式 表1 证书转换命令 格式类型 转换方式（通过OpenSSL工具进行转换） CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令，以“cert.pfx”转换位“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem

证书编码格式为PKCS8时 由于华为云WAF、ELB、CDN服务暂时不支持PKCS8编码格式，因此，当您将PKCS8编码格式的证书上传到SSL证书管理平台，再部署至WAF、ELB、CDN三个服务时，会报错。 如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头，则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头，则说明该证书是PKCS1编码格式。 当您的公钥或者私钥的编码格式是PKCS8格式时，需要执行如下操作，才能将PKCS8编码格式的证书成功地运用到WAF、ELB、CDN服务。 证书格式是否为PEM格式。 是，执行2。 否，参照证书格式转换为PEM格式将证书格式转换为PEM后，再执行2。 执行如下命令将PKCS8编码格式转换为PKCS1编码格式。 PKCS8格式私钥转换为PKCS1格式 openssl rsa -in pkcs8.pem -out pkcs1.pem PKCS8公钥转PKCS1公钥 openssl rsa -pubin -in public.pem -RSAPublicKey_out 将转换后的证书上传至SSL证书管理平台，详细的操作请参见上传证书。 再将证书部署到对应的华为云服务，详细的操作请参见部署证书到云产品。

如何进行域名验证？ 按照CA中心的规范，如果您申请了SSL数字证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。 当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，才会签发证书。 华为云SSL证书管理提供的域名验证方式具体说明如表1所示，请根据您申请证书时选择的验证方式进行操作。 表1 域名验证 参数名称 参数说明 自动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 自动DNS验证则系统自动添加DNS记录验证，无需您进行任何操作。以下条件必须全部满足系统才会进行自动DNS验证： 购买的是DV（域名型）证书 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务 手动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 手动DNS验证则您需要前往域名的DNS解析服务商进行操作。具体操作请参见如何进行手动DNS验证？。 邮箱验证 指通过回复邮件的方式来验证域名所有权。具体操作请参见如何进行邮箱验证？。 文件验证 指通过在服务器上创建指定文件的方式来验证域名所有权。具体操作请参见如何进行文件验证？。 说明： 仅纯IP（公网IP）的证书通过“文件验证”方式进行验证。 DV（域名型）证书默认通过“DNS验证”方式进行验证。 如果您是在华为云本平台上申请的域名，且域名已使用华为云云解析服务，则系统将进行自动DNS验证，您无需进行任何操作。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要进行手动DNS验证。 父主题： 验证域名所有权

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/whois.txt或http://example.com/.well-known/pki-validation/whois.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

购买和使用单域名扩容包的约束与限制 Digicert DV(basic) 单域名扩容包属于增值服务类产品，需支付一定的费用，该费用是针对已领取过华为云提供的20张免费证书额度的用户，收取的扩容服务费用。 发票将按照购买Digicert DV(basic) 单域名扩容包时的实付金额开具等额发票，之后使用Digicert DV(basic) 单域名扩容包额度申请的免费证书不再开具发票。 Digicert DV(basic) 单域名扩容包一经购买，则不支持退款、退货、换货。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

提交了吊销或删除证书的申请，是否可以取消？ 不可以。 吊销申请提交后或删除证书的操作执行后，将无法取消，请谨慎操作。 证书吊销指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 提交吊销申请后，将由CA机构审核，审核通过后，吊销操作才算完成。 因为吊销过程中无需用户执行任何操作，且CA机构审核流程较快，所以，提交吊销申请后，将无法取消，请谨慎操作。 证书删除指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 提交删除操作后，华为云将直接执行删除操作，无需CA机构审核，将立即被删除。因此，执行删除操作后，将无法取消，请谨慎操作。 父主题： SSL证书管理类

收到CA机构的邮件或电话如何处理？ SSL证书申请过程中，如果收到证书相关的邮件或电话，请在确认是CA机构的邮件或电话后，尽快根据邮件或电话内容进行相应处理，以免影响证书审核进度。 以下几种情况CA机构可能会给你发送邮件或打电话： 验证域名所有权 原因：证书申请过程中，按照CA中心的规范，您必须配合完成域名授权验证来证明您对所申请绑定的域名的所有权。 处理方法：请根据邮件内容进行验证域名所有权操作。详细操作可参见域名验证。 组织验证 原因：申请OV和EV类型证书时，CA机构将联系组织的公开电话，确认组织是否发起了此次的证书订单申请。 处理方法：CA机构将通过组织的公开电话与您联系，请您留意并及时进行处理。 父主题： SSL证书审核

SSL证书签发后，如何使用？ CA机构审核通过后，将签发证书。证书签发后，即可使用。 通过华为云SCM签发的证书。 将产品用于华为云WAF、ELB、CDN云产品中。通过一键部署证书到具体的服务，具体的方法请参考部署证书到云产品。 将证书部署到其他云产品中。先将证书下载到本地，再到对应的云产品控制台上传数字证书并进行部署。 将证书配置到服务器上。先将证书下载到本地，再参照如何在服务器上安装SSL证书？将证书部署到对应的服务器上。 非华为云签发的证书。 将证书部署到云产品中，先将证书下载到本地，再到对应的云产品控制台上传数字证书并进行部署。 将证书配置到服务器上。先将证书下载到本地，再参照如何在服务器上安装SSL证书？将证书部署到对应的服务器上。 父主题： SSL证书应用类

SSL证书到期未更新新证书，会影响业务吗？ SSL证书到期了，如果后续不再进行使用，则无需再次购买，不会影响业务。 另外，需要注意的是，如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。黑客等不法分子可以利用过期的SSL证书，篡改或窃取浏览器和服务器之间传输的信息和数据，从而影响用户的数据安全。 当浏览器用户发现网站服务器证书过期，会对该网站不信任，从而为企业的品牌形象带来负面的影响。网站服务器过期后，用户可能会为了避免出现个人损失，而选择停止访问该网站。 父主题： 证书有效期

公钥、私钥、数字证书的关系是什么？ 根据非对称密码学的原理，每个证书持有人都有一对公钥和私钥，这两把密钥可以互为加解密。 公钥是公开的，不需要保密，而私钥是由证书持有人自己特有，并且必须妥善保管和注意保密。数字证书则是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件。 数字证书就是经过CA认证过的公钥，因此数字证书和公钥一样是公开的。 可以这样说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在自己本地生成或委托受信的第三方生成的，由证书持有者自己负责保管或委托受信的第三方保管。 华为云的SSL证书管理中，如果您申请证书时，“证书请求文件”选择的是“系统生成CSR”，则在您的证书签发成功后，私钥和证书文件将统一放在证书文件夹内，您可通过下载证书进行获取。 如果您申请证书时，“证书请求文件”选择的是“自己生成CSR”，则在您的证书签发成功后，下载的证书仅包含一个名为“server.pem”的文件（文件中已经包含两段证书代码，分别是服务器证书和CA中间证书）。私钥为用户自行保存的，华为云SSL证书管理不提供。 父主题： 证书咨询

一键部署SSL证书到云产品时，会部署到哪些地域？ 通过华为云SSL证书管理购买国际标准数字证书，支持一键部署到华为云的弹性负载均衡（Elastic Load Balance，ELB）、Web应用防火墙（Web Application Firewall，WAF）、CDN（Content Delivery Network，内容分发网络）产品中。 部署时，根据产品的不同，部署区域也会有所不同： 当部署/更新证书到ELB和WAF时，用户可以自行选择部署到哪个区域，选择并部署后，SSL证书管理会将数字证书部署到用户所选择的区域。 当部署证书到CDN时，无需选择区域，SSL证书管理会将数字证书部署到CDN服务中。 如果您没有购买对应的云产品，或您的数字证书所绑定的域名没有在对应的云产品中开通服务，请不要将数字证书部署到对应的云产品中，若部署将可能导致部署失败。 父主题： SSL证书应用类

为什么在CDN中进行HTTPS配置时，提示证书链不齐全？ 当在CDN（Content Delivery Network，内容分发网络）中使用SSL证书进行HTTPS配置时，如果出现HTTPS配置证书失败，提示证书链不齐全的情况，请参照以下方式进行排查、处理： 请您查看证书链是否填写完整，是否按照格式添加，是否将所有证书填写完整，证书顺序是否正确。 如果证书顺序不对，请按照“服务器证书-证书链”的顺序依次排列。 如果是证书链不完整，请参见如何解决SSL证书链不完整？操作补齐证书链。 通过华为云SSL证书管理购买的数字证书，支持一键部署到CDN产品中，部署后，可以帮助您提升云产品访问数据的安全性。无需再手动导入证书，避免了此类报错。因此建议您在华为云SSL证书管理中购买证书。 父主题： SSL证书应用类

SSL证书中包含哪些信息？ 签发并部署成功后的证书包含的信息如下： 地址栏：安全锁、Https标志、企业名称（仅EV类型证书）。 示例：增强型EV证书在Chrome浏览器的显示效果 常规：证书的使用者、颁发者和有效期。 图1 证书常规信息示例 详细信息：证书版本、序列号、签名算法、加密算法、公钥、有效期及使用者的详细信息（如省市、企业名称、部门等）等。 在申请证书时，填写的“公司联系人/授权人信息”（联系人姓名、手机号码），涉及用户个人信息的内容，证书签发后不会包含在证书中。 图2 证书详细信息示例 父主题： 证书咨询

域名不在华为云平台管理，如何进行DNS验证？ 域名不在华为云平台管理，在进行DNS验证时，请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是：请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 参见如何进行手动DNS验证？，在华为云的云解析服务上进行DNS验证。 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。 父主题： 验证域名所有权

主域名和附加域名的关系对域名有没有什么影响？ 当证书域名类型为“多域名”时，申请证书时，您可以添加1个主域名、至少添加1个附加域名，多个附加域名间需要换行输入。 例如，您购买的域名数量为3，则将其中1个域名设置为主域名，其他2个域名则设置为附加域名。 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 具体如何填写请参见申请SSL证书时，如何填写证书中绑定的域名？。 父主题： 域名填写类

SSL证书购买后多久生效？ 证书购买后，需要申请证书，CA机构将对用户提交的申请进行审核，审核通过后才会签发证书。 证书签发后立即生效。 证书的有效期为1年，即证书在审核通过之后的1年内有效，到期后将无法继续使用。如果您未开通自动续费，证书到期前您需预留3-10个工作日重新购买或手动续费，如果您已开通自动续费，请注意查收验证提醒的短信通知，您收到验证通知后请提前3-10个工作日配合完成相关的验证操作，以免证书审核还未完成之前现有证书已经过期。 多域名类型的证书，如果是新增附加域名，证书有效期是从第一次签发日开始计算。 父主题： 证书有效期