责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

证书选型案例 表1 以下为部分典型行业证书选型案例，您在选购证书时可以进行参考。 实例 所属行业 业务特征 常用证书类型 中国农业银行 中国平安 金融、银行、保险 有严格的数据保密要求 希望在网站地址栏展示身份信息 EV 教育部 淘宝、京东 百度、新浪、今日头条 上海证券交易所 国家电网 外交部 华为云 教育、政府、互联网 有严格的数据保密要求 无需在网站地址栏展示身份信息 网站后期有多个新增站点的需求 OV泛 域名 证书 个人网站 个人业务 无数据传输业务 网站用来展示纯信息或内容 DV 父主题： 如何选购SSL证书

证书链 从根CA到私有证书之间的完整的证书链路，即各个层级证书按序链在一起的文件，用于进行身份的逐层校验。各级证书的链接关系，如图 证书链所示。 PCA服务支持创建最多七级的CA层级结构，一个好的私有CA层次结构可实现对证书的精细化控制，以及提升PKI（公钥基础设施）体系的安全性，具体请参见私有CA层次结构设计。 图3 证书链 证书校验主要体现在两方面： 证书链的完整性校验，逐层校验证书的有效性。 证书链中的根CA是否被校验方所信任（提前预置到信任列表中）。 证书校验过程中主要包含的校验项： 实体所宣称的主体信息（如服务端的域名）是否在证书可选名称的范围内。 证书是否过期。 密钥用法是否符合当前操作（如密钥协商、数字签名等）。 数字签名验证。 是否已被吊销。 此处未列举出所有校验项，X509证书允许用户增加多种自定义扩展项，详情请参考相关国际标准。

PCA证书有效期 在证书链中，根CA是整条链的信任起点，一旦根CA过期，其与其子CA签发的所有证书将不再被信任，因此根CA的有效期是其下层所有证书的有效期上限。即使签发下层证书时，可以将有效期填写超过根CA的有效期（不做强制要求下），但在校验证书链时，只要链中根CA过期，校验就会失败。 在PCA服务中，强制要求新签发的证书的到期时间不可超过其父CA的到期时间，确保从根CA到私有证书之间的链路上，有效期逐层递减。PCA服务对各类证书有效期的约束见表 证书有效期约束。 不同类型证书的有效期是根据其扮演的角色而定的。使用越频繁的证书，其密钥材料泄露风险更高，有效期应尽量设置更小。例如，根CA通常只用于签发子CA，使用频率最少，且使用最高的安全保护措施（PCA中使用KMS进行CA密钥管理），有效期一般设置为10~30年左右。子CA根据其所在的层级，越往下有效期逐级减少，最下层的证书用于签发大量的私有证书，有效期通常设置为2~5年左右。私有证书，频繁用于通信，通常根据使用场景的安全要求，将有效期设置为几个小时、几个月以及一两年不等。 表1 证书有效期约束 CA/证书 最小有效期 最大有效期 是否支持延长 有效期其它约束 根CA 1小时 30年 否 无 子CA 1小时 20年 否 在父CA有效期内 私有证书 1小时 20年 否 在父CA有效期内

证书吊销列表 证书吊销列表（Certificate Revocation List，CRL）是指在有效期内就被其父CA吊销的证书的名单，其中被吊销的CA/证书，包含子CA与私有证书。证书吊销列表是一种有固定格式的结构化数据文件，其中包含颁发者信息、吊销列表的生效时间、列表下一次更新时间、签发算法、指纹以及已被吊销证书的序列号与对应的吊销时间和吊销理由码。证书吊销列表具体内容，如图 证书吊销列表所示。如何配置证书吊销列表，请参见配置证书吊销列表。 图2 证书吊销列表

证书支持的域名类型 不同域名类型的证书所支持绑定的域名区别如下表所示： 表3 域名类型 域名类型 说明 单域名 即单个SSL证书只支持绑定1个单域名。例如，example.com 多域名 即单个SSL证书可以同时绑定多个域名。 最多可以支持250个域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 多个域名可以分批次绑定。例如，购买多域名类型证书，域名数量为3的场景，首次申请证书时仅填写了2个域名，证书签发后可再追加填写1个域名。 当购买多域名类型证书，域名数量为3的场景，仅支持绑定3个域名。如果后续还需添加，则需要重新购买证书。 泛域名 即单个SSL证书支持绑定一个且只有一个泛域名。*.*.example.com多个通配符的泛域名不支持。 泛域名只允许添加一个通配符域名，例如*.example.com（包含a.example.com、b.example.com、......，但是不包含a.a.example.com）。 更多关于如何选择域名类型，详情请参见如何选择域名类型？

证书品牌 目前 云证书管理 支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表2 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和 SSL数字证书 提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、Google、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 O CS P。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否

证书支持的加密算法 华为云 云证书管理服务 签发的SSL证书目前支持RSA、ECC、SM2三种加密算法。 RSA：目前在全球应用广泛的非对称加密算法，兼容性在三种算法中最好，支持主流浏览器和全平台操作系统。一般采用2048位或3072位的加密长度。 ECC：椭圆曲线加密算法。相比于RSA，ECC加密速度快、效率更高、服务器资源消耗低，目前已在主流浏览器中得到推广，成为新一代主流算法。一般采用256位加密长度。 SM2：中国国家密码管理局发布的ECC椭圆曲线加密算法，在中国商用密码体系中用来替代RSA算法。 不同类型的证书支持的加密算法如表 证书支持的加密算法所示。 表4 证书支持的加密算法 证书品牌 证书类型 域名类型 支持的加密算法 DigiCert DV (Basic) 单域名 RSA_2048、RSA_3072、RSA_4096 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 OV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 OV Pro 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 EV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 EV Pro 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 GeoTrust DV (Basic) 说明： Geotrust DV(basic) 证书已更名为 Rapid SSL，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 单域名 RSA_2048、RSA_3072、RSA_4096 泛域名 RSA_2048、RSA_3072、RSA_4096 DV 单域名 RSA_2048、RSA_3072、RSA_4096 泛域名 RSA_2048、RSA_3072、RSA_4096 OV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 EV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 GlobalSign OV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 IP地址 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 EV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 CFCA（国产） OV 单域名 RSA_2048、SM2 多域名 RSA_2048、SM2 泛域名 RSA_2048、SM2 EV 单域名 RSA_2048 多域名 RSA_2048 TrustAsia（国产） DV 泛域名 RSA_2048 OV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384、SM2 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 泛域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384、SM2 EV 单域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 多域名 RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384 vTrus（国产） DV 单域名 RSA_2048 泛域名 RSA_2048 OV 单域名 RSA_2048、RSA_4096、SM2 多域名 RSA_2048、RSA_4096、SM2 泛域名 RSA_2048、RSA_4096、SM2

证书类型 华为云SSL证书服务支持购买DV、OV和EV三种类型的SSL证书。不同证书类型适用的应用场景、信任等级和安全性不同，具体区别如表 各种证书之间的区别所示。 表1 各种证书之间的区别 证书类型 安全等级 认证强度 适用场景 支持的证书品牌 审核时长 DV（域名型） 一般 简易验证域名所有权 个人或企业测试的网站 DigiCert GeoTrust TrustAsia vTrus 数小时内快速颁发 OV（企业型） 高 全面验证组织及企业真实性和域名所有权 教育、政府、互联网、中小型企业应用、电商等服务型网站 例如，Apple Store、微信小程序等 DigiCert GeoTrust GlobalSign CFCA TrustAsia vTrus 3～5个工作日 EV（增强型） 最高 严格验证组织及企业真实性和域名所有权 有严格安全要求的大型企业、机构和组织的网站 例如，金融、保险、银行等 DigiCert GeoTrust GlobalSign CFCA TrustAsia 7～10个工作日

收集范围 CCM收集及产生的个人数据如表1所示： 表1 个人数据范围列表 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是证书资源身份标识 姓名 在申请SSL证书时填写的联系人姓名 是 是，证书审核人工认证阶段必须 邮箱 在申请SSL证书或私有证书时填写的邮箱 申请SSL证书时填写的邮箱：是 申请私有证书时填写的邮箱：否 申请SSL证书时填写的邮箱：是，证书审核人工认证阶段必须 申请私有证书时填写的邮箱：否 手机号码 在申请SSL证书时填写的联系人手机号 是 是，证书审核人工认证阶段必须 企业营业执照 在申请SSL证书时，可以选择上传企业营业执照 是 否 银行开户许可 在申请SSL证书时，可以选择上传银行开户许可 是 否 企业项目ID 在申请或使用SSL证书、私有证书时，可以为证书分配企业项目 是 已开通企业项目：是 未开通企业项目：否

私有证书管理 功能名称 功能描述 华为云托管的证书颁发机构 私有证书管理服务提供证书颁发机构（Certificate Authority，CA），支持多种密钥算法，其中包括：RSA_2048、RSA_4096、EC_P256、EC_P384等。支持X.509 v3的证书格式，支持CA多级扩展和多级认证，采用国际通用的对称和非对称算法，符合PKI/CA国际标准。 私有证书生命周期管理 私有证书管理服务提供对私有证书的申请、下载、吊销，具备千万级以上的证书管理能力。 密钥生命周期管理 私有证书管理服务使用华为云的密钥管理服务（Key Management Service，KMS）、硬件安全模块HSM（Hardware Security Module）来保护CA密钥的安全，支持软件和硬件产生密钥对，完成密钥的产生、更新、删除、恢复等功能。 私有证书撤销列表（Certificate Revocation List，CRL）管理 私有证书管理服务能定期自动向您的华为云OBS桶发布和更新证书撤销列表，供您或应用下载。应用程序、服务以及设备可以定期使用CRL评估证书状态。 API自动化集成 私有证书管理服务提供API，可以帮助您在开发环境高效集成，快速进行产品部署。

SSL证书管理 功能名称 功能描述 SSL证书申购 云证书管理服务SSL证书管理提供了OV（企业版）、OV Pro（企业型专业版）、EV（增强型）、EV Pro（增强型专业版）、DV（域名型）和DV（Basic）基础版六种类型的SSL证书，以及DigiCert、GlobalSign、GeoTrust、CFCA、TrustAsia、vTrus六种品牌供您选择。 SSL证书统一管理 云证书管理服务提供上传证书和私钥功能，实现在华为云平台统一管理各种证书、提交审核、查看证书绑定域名和到期时间、修改证书名称、删除已过期的证书等一站式服务，帮助您有效提高证书运维效率。详细操作请参见上传已有证书。 SSL证书一键部署 支持一键将数字证书部署在华为云已经开通的云产品中（ELB、CDN、WAF），以最小成本在云上应用。 SSL证书吊销 按照标准的证书吊销流程，经过CA机构审核后，安全、快捷地吊销已签发的SSL证书。 SSL证书退款 SCM支持7天无理由退款，详细操作请参见退订证书。 SSL证书续费 SSL证书存在有效期限制。CA机构签发的SSL证书默认有效期为1年，您需要在证书到期前进行续费。详细操作请参见续费证书。

CCM权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCM部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCM时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCM服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，CCM支持的API授权项请参见权限及授权项说明。 如表1所示，包括了CCM所有系统角色。 表1 CCM系统角色 角色名称/策略名称 描述 类别 依赖关系 SCM Administrator SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 依赖“Server Administrator”和“Tenant Guest”角色，在同项目中勾选依赖的角色。 购买证书需要依赖 BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 WAF FullAccess：系统策略， Web应用防火墙 管理员。 ELB FullAccess：系统策略，弹性负载均衡服务所有权限。 CDN FullAccess：系统策略，具有内容分发网络（CDN）所有细粒度鉴权接口的操作权限。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ， 对象存储服务 管理员。 DNS FullAccess：系统策略，拥有该权限的用户可以拥有云解析服务的全部权限，包括创建、删除、查询、修改等操作。 SCM FullAccess SSL证书管理服务的所有权限。 系统策略 购买证书需要依赖 BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 WAF FullAccess：系统策略，Web应用防火墙管理员。 ELB FullAccess：系统策略，弹性负载均衡服务所有权限。 CDN FullAccess：系统策略，具有内容分发网络（CDN）所有细粒度鉴权接口的操作权限。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ，对象存储服务管理员。 DNS FullAccess：系统策略，拥有该权限的用户可以拥有云解析服务的全部权限，包括创建、删除、查询、修改等操作。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 系统策略 无。 PCA FullAccess 私有证书管理服务所有权限。 系统策略 创建私有CA或私有证书需要依赖BSS Administrator角色。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ，对象存储服务管理员。 表2列出了SSL证书管理常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 如需购买证书，账号除了必须拥有“SCM Administrator”或“SCM FullAccess”之外，还需要拥有“BSS Administrator”权限。 BSS Administrator：费用中心、资源中心、账号中心的所有执行权限。项目级角色，在同项目中勾选。 表2 常用操作与系统权限的关系 操作 SCM Administrator SCM FullAccess SCM ReadOnlyAccess 查询SSL证书列表 √ √ √ 查询SSL证书详情 √ √ √ 查询SSL证书产品类型 √ √ √ 查询SSL证书产品详情 √ √ √ 取消 SSL证书申请 √ √ x 购买SSL证书 √ √ x 申请SSL证书 √ √ x 保存申请SSL证书填写的信息 √ √ x 读取申请SSL证书填写的信息 √ √ √ 修改SSL证书 √ √ x 删除SSL证书 √ √ x 下载SSL证书 √ √ x 上传认证信息 √ √ x 吊销SSL证书 √ √ x 推送SSL证书 √ √ x 查询SSL证书推送记录 √ √ √ 上传SSL证书 √ √ x 校验CSR √ √ x 新增附加域名 √ √ x 取消隐私授权 √ √ x 重新签发SSL证书 √ √ x 退订SSL证书 √ √ x

什么是SSL证书管理 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理，实现网站的可信认证与安全数据传输。 什么是SSL证书？ SSL证书是一种遵守SSL协议的服务器数字证书，由受信任的根证书颁发机构颁发。 SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 华为云SSL证书管理与HTTPS的关系 您可以通过华为云SSL证书管理购买SSL证书，并向CA机构提交证书申请，CA机构审核通过后将会签发证书。签发后，您需要将SSL证书下载并安装到Web服务器中或一键部署至华为云其他云产品中，安装或部署完成后，您的Web服务器或云产品将会通过HTTPS加密协议来传输数据。 SSL证书的作用 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。

响应示例 状态码：200 正常返回。 { "private_key" : "xxxxxx" } 状态码：401 认证失败。 { "error_code" : "SCM.XXX", "error_msg" : "XXX" } 状态码：403 禁止访问。 { "error_code" : "SCM.XXX", "error_msg" : "XXX" } 状态码：500 请求未完成，服务器内部异常。 { "error_code" : "SCM.XXX", "error_msg" : "XXX" }