华为云用户手册

步骤1：注册设备 登录华为HiLens管理控制台，单击“专业版”，切换至专业版控制台。 单击左侧导航栏“设备管理”，进入“设备管理”页面。 单击注册设备，进入注册设备页面。 填写注册信息，单击右下角的“确认”。 基本信息 图3 基本信息 表1 注册设备基础信息 参数 说明 设备名称 设备注册时使用的名称，批量注册时使用该名称作为前缀。仅允许中文字符、英文字母、数字、下划线、中划线且长度不超过64。 描述 设备描述。不允许输入*~#等特殊字符且长度为0-255。 标签 设备标签。 单击“创建标签”，添加标签，在输入框中依次填写标签键和标签值。 只允许大小写字母、数字、下划线和中划线，不允许为空。标签键不允许重复，最大长度为36个字符，标签值最大长度为43个字符。 最多可添加20组标签。 单击，删除标签。 部署方式 当前仅支持注册“HiLens”类型设备。 设备类型 选择待注册的设备类型，包括“Atlas 500”、“Atlas 800”、“通用ARM设备”、“通用x86设备” 等设备类型。 本样例选择“Windows”。 高级设置 图4 高级设置 参数 说明 开启AI加速卡 AI加速卡开关，开启后AI加速卡类型当前仅支持“Nvidia GPU”。 批量注册 批量注册开关。如果开启，选择注册设备的数量。 输入值范围必须在1~100000。 IAM用户名 由帐号在IAM中创建的用户，如果没有IAM账户时，填写华为云帐号名。相关概念请参见IAM基本概念。 工作空间 选择设备注册的工作空间。默认帐号的默认工作空间，可自定义选择。 事件有效时间 若您在设备离线时进行操作，则操作将保留在待执行的事件列表中，待设备上线后执行。 日志设置 配置日志的“日志存储时间”、“日志等级”，设置“LTS日志上传”开关。 图5 应用日志 表2 注册设备日志设置 参数 说明 日志存储时间 日志存储时长，单位为天。输入值范围必须在1~30。 日志等级 选择日志等级，可选“Error（错误）”、“Warning（警告）”、“Info（信息）”、“Debug（调试）”。 本地日志设置 大小限制 对该注册设备的日志大小限制，默认为50MB，不可自定义。 日志滚动数量 每隔 {0} 天，对本地日志根据数量对日志进行一次日志滚动，删除最旧的日志文件。每个日志文件固定10M。 LTS云日志设置 日志上传 日志上传开关。系统日志与应用日志默认在本地存储，如果要上传至云日志服务(LTS)，可开启“日志上传”开关。 开关开启后，选择日志等级，仅对应等级的日志上传至LTS。 填写完注册设备的基本信息，在“完成，下载固件”页面，单击操作列的“下载”，下载对应的固件和配置文件至本地。 图6 下载固件和证书文件 设备故障和离线状态时，可尝试重新下载证书并再次执行注册命令，设备激活状态、部署等信息不变。同一设备下，证书总共最多可下载10次。 解压上一步下载的“HiLens_Device_Agent”，得到可执行文件“hdad.exe”。 双击“hdad.exe”，保持窗口开启。 打开PC命令提示符窗口，执行如下命令注册设备： [固件文件夹路径]\hdad.exe hdactl bind -p [证书路径]\win10.tar.gz 注册命令示例如下： HiLens_Device_Agent\hdad.exe hdactl bind -p Device-20221031151022.tar.gz 在专业版管理控制台左侧菜单栏单击“设备管理”，默认设备列表展现所有设备，查看到您所注册的设备列表，且设备状态处于“运行中”状态，则说明您的设备成功注册。 图7 控制台查看设备

准备工作 安装Git for Windows ModelBox中有些脚本的执行依赖bash，使用Git bash也可以让开发者在Windows上获得与Linux相同的执行环境，因此需要安装Git for Windows。 安装后打开Git bash，可以使用Linux命令执行某些操作。 安装Python3.8.10 ModelBox技能的开发运行需要Python3.8.10环境（目前Python版本必须为3.8.10，且无法使用Anaconda环境中的Python）。 安装Python第一步，需要勾选“将Python3.8加到环境变量PATH中”。 图1 安装Python 安装Visual Studio Code 与使用ModelBox的其他套件一样，推荐使用Visual Studio Code进行技能开发，请登录Visual Studio Code官网下载安装Windows x64版本的编辑器。 图2 安装Visual Studio Code

步骤4：启动技能 在HiLens Studio界面的右侧“Skill Installation”区，在“Device Name”列选择您要启动技能的设备，单击设备名称左侧的，查看设备下的技能。 如果右侧没有“Skill Installation”区，请单击HiLens Studio界面右侧。 鼠标移至技能“Mask_Detection_Cpp_C76”的“Operation”，单击“Start”。 弹出“Start Skill”对话框。 图7 启动技能 在“Starting Skill”对话框中单击“Yes”。 右下方提示“Starting the skill”。 开始启动技能，技能启动时会有一个命令下发过程，您需要等待一段时间技能才能启动成功，右下方提示“Success to start the skill”，同时在界面看到技能状态“Status”更新为“Running”。 图8 启动技能 技能处于“Running”状态时，您可以通过显示器查看技能输出的视频数据，此样例所开发的口罩识别技能可检测视频中的人是否佩戴口罩，输出的视频中会用方框标识出人脸，并标记是否戴口罩。 图9 技能效果

步骤3：启动技能 在华为HiLens专业版控制台添加作业页面，填写配置信息，单击“下一步”。 基本信息 填写作业的“名称”和“描述”。此样例可使用默认填写的作业名称。 图6 基本信息 参数配置 配置技能运行的相关参数。此样例中“mask-det-yolo3-win”技能可不用配置相关参数。 输入 技能运行时，数据输入来源。 此样例中“mask-det-yolo3-win”技能使用设备自带或USB接入的摄像头，因此输入配置选择“从摄像头输入”： “摄像头类型”：自带/外置摄像头。 “摄像头ID”：0。如果有多个摄像头，可以使用不同的ID选择不同的摄像头。 图7 输入配置 输出 技能运行时，数据输出位置。 此样例中“mask-det-yolo3-win”技能检测结果输出到本地PC屏幕上，因此输出配置选择“本地屏幕”，“显示名称”填写一个自定义名称，如“mask_det”。 图8 输出配置 高级配置 计算资源：摄像头或VCN输入的作业，可根据路数计算出消耗资源。若设备所剩资源小于计算资源，则该作业处于排队状态。 启动时间：选择技能启动时间，可选“立即启动”和“定时启动”。 图9 启动时间 单击“确定”。 稍后PC屏幕会自动弹出实时的口罩检测画面。 登录专业版华为HiLens控制台的设备管理页面，单击部署技能的设备，进入设备详情页面。 在部署列表页签中，将会看到创建好的部署工程和运行中的作业，可以针对作业进行编辑、停止、启动、删除等操作。 图10 技能运行

域名验证概述 证书提交申请后，您需要进行域名授权验证。按照CA中心的规范，如果您申请了SSL证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。 当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，才会签发证书。 如果不完成域名验证，您的证书将无法通过审核，且您的证书申请将会一直显示“待完成域名验证”的状态。 华为云SSL证书管理提供以下几种方式，根据您申请证书时，选择的验证方式进行操作： 表1 域名验证方式 验证方式 说明 适用场景 自动DNS验证 指您授权SCM服务修改域名的DNS解析记录，自动在解析记录中添加一条用于验证记录，无需您手动修改域名解析记录。 购买的是DV（域名型）证书； 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务（Domain Name Service）； 以上条件必须全部满足系统才会进行自动DNS验证。 手动DNS验证 指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录，在解析记录中添加一条用于验证的记录。 您有权限修改域名的DNS解析设置（即拥有域名管理权限）； 申请证书时，域名验证方式选择了手动DNS验证（DV型证书无需此项）。 邮箱验证 即您登录域名管理员邮箱，接收域名确认邮件并回复CA机构发送的域名确认邮件。 您有权限登录域名管理员邮箱（即拥有域名管理权限）。 文件验证 指由您手动从SCM控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。 购买的是IP证书 您有权限向网站所在服务器的根目录写入内容（即拥有服务器管理权限）。 服务器开放了80或443端口，支持监听HTTP、HTTPS访问。 注意： 目前CA机构仅支持向80或443端口发起认证请求。如果您的服务器未开放80或443端口，则请勿使用文件验证方式。 父主题： 域名验证

SCM自定义策略样例 示例1：授权用户下载证书 { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:download" ], "Effect": "Allow" } ]} 示例2：拒绝用户删除证书 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“SCM Administrator”的系统策略，但不希望用户拥有“SCM Administrator”中定义的删除证书权限，您可以创建一条拒绝删除证书的自定义策略，然后同时将“SCM Administrator”和拒绝策略授予用户，根据Deny优先原则，则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:delete" ], "Effect": "Deny" } ]} 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "scm:cert:complete", "scm:cert:push", "cdn:configuration:queryHttpsConf" ], "Effect": "Allow" } ]}

操作步骤 请登录您在申请证书时填写的联系人邮箱。 打开来自CA机构的组织验证邮件。 回复CA机构的邮件以选择组织验证方式。 组织验证包括电话、企业邮箱、律师函方式等，其中律师函方式需要额外收费500元。请根据您的实际情况进行选择。 如果需要更改组织验证方式，请直接回复CA中心的邮件。 请您留意所选择的验证方式，配合CA机构进行处理。 例如，您选择的组织验证方式为电话验证，则CA机构将通过企业/组织的公开电话与您联系，请您留意并及时进行处理。

SCM支持云审计的操作列表 云审计服务记录SSL证书管理相关的操作事件，如表1所示。 表1 云审计服务支持的SCM操作列表 操作名称 资源类型 事件名称 修改证书 scm modifyScmCert 新建证书订单 scm createScmNewCert 购买证书 scm purchaseScmCert 上传用户认证信息 scm uploadScmUserMessage 补全证书信息 scm completeScmCert 下载证书 scm downloadScmCert 删除证书 scm deleteScmCert 取消证书审核 scm cancelScmCert 吊销证书 scm revokeScmCert 上传证书 scm uploadScmCert 推送证书到ELB scm pushScmCertToELB 父主题： SCM关键操作审计管理

SSL证书部署失败怎么办？ 证书管理支持将上传的证书和通过SCM签发的证书一键部署到弹性负载均衡（Elastic Load Balance，ELB）、Web应用防火墙（Web Application Firewall，WAF）、CDN（Content Delivery Network，内容分发网络）等其它华为云产品中。但是以下情况会导致部署失败： 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署。 解决方法： 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持部署到云产品。 解决方法： 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 没有购买对应的云产品，或数字证书所绑定的域名没有在对应的云产品中开通服务，部署将可能导致部署失败。 解决方法： 没有购买对应的云产品或在对应的云产品中开通服务 如果您已将证书部署或者上传到对应的云产品中，即目标证书在对应的云产品中已存在，再次通过SCM平台部署时，将会部署失败。 解决方法： 查看是否已部署，如果SSL已部署则无需再次部署。 父主题： SSL证书应用类

系统生成CSR 宝塔面板一般包含Apache环境和Nginx环境。 Nginx环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图1所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.crt”的内容复制粘贴到“证书(PEM格式)”的配置框中。 Apache环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示。 图2 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 “证书ID_证书绑定的域名_server.crt”文件和“证书ID_证书绑定的域名_ca.crt”文件合并后录入到“证书(PEM格式)”的配置框中。 “server.crt”文件和“ca.crt”文件合并时，一定是“server.crt”内容在前，“ca.crt”内容在后，顺序不正确会导致Apache无法正常启动。 如果您的证书不是通过SCM签发的，下载的crt文件对应的名称是“_public.crt”和“_chain.crt”，与SCM签发的证书文件的对应关系是： “_public.crt”文件对应“server.crt”文件。 “_chain.crt”文件对应“ca.crt”文件。 合并时，“_public.crt”文件内容在前，“_chain.crt”文件内容在后。

自己生成CSR 此时，不区分Apache环境和Nginx环境，均按以下步骤进行操作。 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 打开宝塔网站的“SSL”界面。 将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。

上传证书时，“证书文件”该如何填写？ SCM支持用户将所拥有的证书上传到SSL证书管理平台，以便在SSL证书管理平台对您的证书进行统一管理。 上传已有证书到SCM中时，需要上传“证书文件”，如图1所示。 图1 证书文件 目前SSL证书管理平台只支持上传PEM格式的证书文件。 上传证书文件时，以文本方式打开待上传证书里的PEM格式的文件（后缀名为“.pem”），将证书内容复制到图1的“证书文件”中即可。 如果上传时，系统提示证书链不完整，请参见以下方式进行处理： 一般情况下，中级机构颁发的证书文件包含多份证书，如包含服务器证书和证书链2个*.PEM格式的证书内容。在SCM中上传证书文件时，需要将所有证书拼接在一起组成一份完整的证书后再上传。更多证书链相关介绍请参见证书链配置说明。 拼接时，须按照“服务器证书-证书链”的顺序进行拼接，具体方法如下： 通过记事本打开所有*.PEM格式的证书文件。 将服务器证书放在首位，再放置证书链。 一般情况下，中级机构在颁发证书的时候会有对应说明，请注意查阅相关规则。通用的规则如下： 证书之间没有空行。 证书链的格式如下： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- 拼接后的证书文件如图2所示。 图2 拼接后的PEM证书文件 父主题： SSL证书管理类

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查类

SSL证书是否可以跨帐号使用 可以。 SSL证书签发后，可跨帐号进行使用。 示例1： A帐号购买的SSL证书，证书签发后可以给B帐号的服务器使用。 因为证书是绑定域名，所以，要求域名和证书绑定的域名一致，否则会报不安全。 示例2： A帐号下的证书可以使用部署功能将证书部署的A帐号下的其他云产品，比如WAF、ELB、CDN等。 但是，A帐号下的证书不能跨帐号部署到B帐号下的产品。 如需在B帐号下使用A帐号中申请的证书，则可先将A帐号中申请的证书下载后，再在B帐号中进行使用。

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

概念 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理服务，实现网站的可信认证与安全数据传输。 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。您可以通过简单的可视化操作，建立自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。

系统生成的CSR和自己生成CSR的区别？ 证书请求文件（Certificate Signing Request，CSR）即证书签名申请，获取SSL证书，需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称（Distinguished Name），通常从Web服务器生成CSR，同时创建加解密的公钥私钥对。 申请证书时，需要设置“证书请求文件”，您可以选择“系统生成的CSR”，也可手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。两者之间的区别如表1所示。 表1 CSR的比较 证书请求文件 说明 区别 系统生成的CSR 系统将自动帮您生成证书私钥，并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。 选择“系统生成CSR”，在数字证书颁发后还可以支持不同格式的证书下载。 “系统生成CSR”，下载证书后，证书文件“server.jks”和密码文件“keystorePass.txt”已自动生成好，可以直接安装使用。 自己生成CSR 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。 详细操作请参见如何制作CSR文件？。 “自己生成CSR”的证书不支持一键部署到云产品。 手动生成CSR文件的同时会生成私钥文件，请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应，一旦丢失了私钥，您的数字证书也将不可使用。华为云不负责保管您的私钥，如果您的私钥丢失，您需要重新购买并替换您的数字证书。 “自己生成CSR”，下载证书后，需要使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到“server.pfx”文件，再使用Keytool工具，将PFX格式证书文件转换成JKS格式，得到“server.jks”证书文件和“keystorePass.txt”密码文件，然后才可以安装部署。 根据以上的比较，建议您选择“系统生成CSR”，可以规避CSR内容不正确而导致证书审核失败。 父主题： 域名填写类

SSL证书安装与应用 将SSL证书应用到华为云产品中 非华为云SSL证书如何配置到华为云服务中？ 如何将证书应用到华为云产品？ 部署证书到云产品 将SSL证书部署到服务器上使用 下载证书 如何在服务器上安装SSL证书？ SSL证书支持在哪些服务器上部署？ SSL证书支持在哪些地域部署？ 宝塔搭建的网站如何在后台添加SSL证书？ SSL证书的安装和配置提供咨询服务吗？ 部署了SSL证书后问题排查 部署了SSL证书后，为什么网站仍然提示不安全？ 部署了SSL证书后，为什么通过域名无法访问网站？ 为什么安装了SSL证书后，https访问速度变慢了？ 为什么配置了SSL证书仍存在用户访问时提示不受信任？ 证书部署后，浏览器是否会弹出不安全提示？ 如何解决证书链不完整？

OV、OVPro型或EV、EV Pro型证书 如果您购买的是OV、OVPro或EV、EV Pro类型证书，成功购买证书后，您需要按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“申请证书”、“域名验证”、“组织验证”。 以上操作完成后，您只需要耐心等待，CA机构（证书的签发方）可能还需要一段时间审核。CA机构审核通过后，您的数字证书将会签发。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。

约束条件 更新SSL证书到ELB时，有以下几点限制条件，请您提前确认： 您已在ELB中配置过证书，即您需要先在ELB服务中完成首次证书的配置，才能通过SCM服务更新证书。ELB中创建证书详细操作请参见创建证书。 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书，需要指定域名，才可在SCM中完成更新证书的操作。 ELB中使用的证书若指定了多个域名，更新证书前需要注意SCM证书的域名与其是否完全匹配。若不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署，您可以先将证书下载到本地，然后再到WAF控制台上传证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。 证书为国际标准SSL证书。

申请SSL证书时应该使用哪个域名？ 关于申请SSL数字证书时应该如何选择申请域名，本文将通过一个简单的示例进行描述。 例如，您的网站为“www.domain.com”。其中，有一个用户登录页面“http://www.domain.com/login.asp”，您想要申请一张SSL数字证书确保用户输入用户名和密码时的安全，确保用户信息不会在传输过程中被非法窃取。同时，还有一个用户登录的信息管理页面“http://www.domain.com/oa/manage.asp”，您也希望使用SSL数字证书来保障内部管理系统中的机密信息的安全。这种情况下，您使用域名“www.domain.com”申请SSL数字证书即可实现对这类页面的保护。 如果您的网站访问量较大，建议您为需要使用SSL数字证书的页面设置一个独立的Web服务器（HTTP server），并使用一个独立的域名来申请SSL数字证书，例如：secure.domain.com或ssl.domain.com。 “https://”的使用必须与申请SSL数字证书的域名一致，否则浏览器可能会出现“安全证书上的名称无效,或者与站点名称不匹配”警告。请根据您网站的具体情况使用合适的域名来申请SSL数字证书。 父主题： 域名填写类

提交SSL证书申请后，发现证书信息错误或变更怎么办 判断错误的信息是否会影响证书的审核或使用。 是，执行2。 否，请根据实际情况进行处理。 未签发：请继续执行后续操作，等待证书的审核。 已签发：无需处理，可正常使用证书。 查看证书是否签发。 证书未签发 提交证书申请后，发现证书信息填写错误或变更，可撤回申请。 具体的操作请参见撤回证书申请。 证书已签发 证书已签发且在规定时间内（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，“单域名”和“泛域名”证书可通过重新签发功能来进行修改，具体操作请参见重新签发，“多域名”证书、免费证书不支持重新签发，您需要重新购买证书，具体操作请参见购买证书。 证书已签发且已超过规定时间（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，则需要重新购买证书。

一个SSL证书能够绑定几个域名 用户在购买证书时，需要根据实际情况选择域名类型。域名类型不同，支持绑定的域名数量也差异。具体的情况如表1所示。 表1 不同的域名类型可绑定的域名数量 证书类型 支持的域名类型 可绑定的域名数量 OV、OV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 EV、EV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 DV 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（GeoTrust入门级SSL证书） 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（DigiCert免费SSL证书） 单域名 1个。

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图4所示，说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 若配置的生效时间未到，请等时间到了后再进行验证。 图7 生效时间

哪些网站必须启用HTTPS加密？ 在越来越重视信息安全的今天，HTTPS协议站点无疑已经成为主流。就目前形势而言，以下网站必须启用HTTPS协议加密： 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看，HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型，启用HTTPS协议加密既是网站安全的必然需要，也是公司发展的提前布局。 父主题： 证书咨询

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

域名的相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如：“*.a.com”是正确的泛域名，但“*.*.a.com”则是不正确的。 一个泛域名算一个域名。关于泛域名的匹配关系，请参考泛域名证书支持哪些域名？。 普通域名 普通域名是相对泛域名来说的，是一个具体的域名或者说不是通配符域名。 例如：“www.a.com”或“a.com”都算一个普通域名。 普通域名能绑定的数量，取决于您证书订单中选择的域名个数。 如“buy.example.com”或“next.buy.example.com”各个明细子域名都算一个域名。 域名级别 域名由一或多个部分组成，这些部分通常连接在一起，并由点分隔，例如www.huaweicloud.com。最右边的一个标签是顶级域名，一个域名的层次结构，从右侧到左侧隔一个点依次下降一层。 域名的第一级是顶级域名，顶级域名下一层是二级域名，一级一级地往下。域名层次结构具体划分情况如表1所示。 表1 域名层级结构 参数名称 参数说明 顶级域名 域名中最高的一级，每个域名都以顶级域结尾。它包括通用顶级域（例如.com、.net、.org等）、国际和地区顶级域（例如.us、.cn、.tk等）和新通用顶级域名（例如.info、.biz等）。 二级域名 顶级域名下面是二级域名，它位于顶级域名的左侧。例如，在example.com中，example是二级域名。 三级域名 二级域名下面是三级域名，它位于二级域的左侧。例如，在www.example.com中，www是三级域名。 以此类推，在上一级域名最左侧进行域名级别的拓展。 以abc.huaweicloud.com为例，进行域名层次结构说明： .com为顶级域名。 huaweicloud.com为1个二级域名。 abc.huaweicloud.com为1个三级域名。 父主题： 域名填写类

什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件，如果私钥文件是如下样式，则说明您的私钥是已加载密码保护的： PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY-----......BASE64 私钥内容......-----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容......-----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的，您可以转换成无密码的密钥文件。关于具体转换方式，请参考主流数字证书有哪些格式？。

如何去除私钥密码保护 如果您的密钥已经加载密码保护，可以通过OpenSSL工具运行以下命令去掉密码保护： openssl rsa -in encryedprivate.key -out unencryed.key 其中，“encryedprivate.key”是带密码保护的私钥文件；“unencryed.key”是去掉了密码保护的私钥文件，扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥，当需要将该证书部署给CDN时，需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的，即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式，则需要使用工具转换证书的格式。具体转换方式，请参考主流数字证书有哪些格式？。