-
响应示例 状态码:200 OK {
"id" : "a27be832f2e9441c8127fe48e3b5ac67",
"name" : "cert_demo",
"common_name" : "apigtest.example.com",
"san" : [ "apigtest.example.com", "*.san.com" ],
"version" : 3,
"organization" : [ "XX" ],
"organizational_unit" : [ "IT" ],
"locality" : [ "XX" ],
"state" : [ "XX" ],
"country" : [ "XX" ],
"not_before" : "2019-06-01T00:00:00Z",
"not_after" : "2031-08-16T06:36:13Z",
"serial_number" : "13010",
"issuer" : [ "XXSSL Inc" ],
"signature_algorithm" : "SHA256-RSA",
"create_time" : "2021-08-20T02:03:53Z",
"update_time" : "2021-08-20T02:03:53Z",
"algorithm_type" : "RSA"
} 状态码:400 Bad Request {
"error_code" : "APIG.3325",
"error_msg" : "The dictionary name already exists"
} 状态码:401 Unauthorized {
"error_code" : "APIG.1002",
"error_msg" : "Incorrect token or token resolution failed"
} 状态码:403 Forbidden {
"error_code" : "APIG.1005",
"error_msg" : "No permissions to request this method"
} 状态码:404 Not Found {
"error_code" : "APIG.3093",
"error_msg" : "App quota c900c5612dbe451bb43cbcc49cfaf2f3 does not exist"
} 状态码:500 Internal Server Error {
"error_code" : "APIG.9999",
"error_msg" : "System error"
}
-
请求示例 修改一个SSL证书 {
"name" : "cert_demo",
"private_key" : "'-----BEGIN PRIVATE KEY-----THIS IS YOUR PRIVATE KEY-----END PRIVATE KEY-----\\n'",
"cert_content" : "'-----BEGIN CERTIFICATE-----THIS IS YOUR CERT CONTENT-----END CERTIFICATE-----\\n'"
}
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用
IAM 服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 证书名称。支持中文,英文字母,数字,下划线,且只能以英文或汉字开头,4~50个字符。 说明: 中文字符必须为UTF-8或者unicode编码。 cert_content 是 String 证书内容 private_key 是 String 证书私钥 type 否 String 证书可见范围 缺省值:global instance_id 否 String 所属实例ID,当type=instance时必填 trusted_root_ca 否 String 信任的根证书CA algorithm_type 否 String 证书算法类型: RSA ECC SM2 cert_content_sign 否 String 签名类型证书内容,仅algorithm_type=SM2时必填。 最大长度:8092 private_key_sign 否 String 签名类型私钥内容,仅algorithm_type=SM2时必填。 最大长度:8092
-
响应参数 状态码:200 表4 响应Body参数 参数 参数类型 描述 id String 证书ID name String 证书名称 type String 证书类型 global:全局证书 instance:实例证书 instance_id String 实例编码 type为global时,缺省为common type为instance时,为实例编码 project_id String 租户项目编号 common_name String
域名 san Array of strings san扩展域名 not_after DateTime 有效期到 signature_algorithm String 签名算法 create_time DateTime 创建时间 update_time DateTime 更新时间 is_has_trusted_root_ca Boolean 是否存在信任的根证书CA。当绑定证书存在trusted_root_ca时为true。 缺省值:false algorithm_type String 证书算法类型: RSA ECC SM2 version Integer 版本 organization Array of strings 公司、组织 organizational_unit Array of strings 部门 locality Array of strings 城市 state Array of strings 省份 country Array of strings 国家 not_before DateTime 有效期从 serial_number String 序列号 issuer Array of strings 颁发者 状态码:400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
-
下载地址 目前仅支持下载部分品牌和证书类型的根证书,具体的下载地址如下 : DigiCert-DV-TLS-CA-G1 DigiCert-EV-root DigiCert-OV-DV-root GeoTrust-CN-RSA-CA-G1 GeoTrust-EV-CN-RSA-G1 GlobalSign-R3-root DigiCert Global Root G2 DigiCert Global RootCA
-
前提条件 购买证书的IAM用户已被授予“SCM Administrator”/“SCM FullAccess”、“BSS Administrator”和“DNS Administrator”权限。 BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。项目级角色,在同项目中勾选。 DNS Administrator:云解析服务(DNS)的所有执行权限。 具体授权操作请参见权限管理。
-
操作前确认 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析。请根据域名管理平台类型确认验证步骤: 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤,具体操作请参见步骤一:获取验证信息、步骤二:在华为云云解析服务上进行DNS验证、步骤三:查看域名验证是否生效、步骤四:DNS验证结果审核。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS? 是。请执行以下操作步骤: 请参见怎样把域名从其他服务商迁移到华为云DNS?,把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。
-
步骤三:查看域名验证是否生效 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。 根据不同的记录类型,选择执行表 验证命令所示命令,查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图3所示,说明域名授权验证配置已经生效。 图3 域名授权验证配置生效 如果界面未回显记录值,显示为“Non-existent domain”,说明域名授权验证配置未生效。 图4 域名授权验证配置未生效 如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图5 配置记录 配置的生效时间过长,生效时间还未到,因此无法查询到数据。 请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如下图所示。 如配置的生效时间未到,请等时间到了后再进行验证。 图6 生效时间
-
DV证书DNS验证失败如何处理? 失败提示信息 解决方案 提交验证频繁,请稍后再试 验证过于频繁,建议您等待3-5分钟后,执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确,请参照步骤一:获取验证信息获取正确记录值后,重新配置。 DNS验证失败,请稍后再试。 请排查是否存在以下问题: 可能问题一:DNS记录值配置未生效。 解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。 解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。 可能问题三:域名未完成备案或实名认证。 解决方案:请完成域名备案和实名认证后,进行域名所有权验证。 可能问题四:域名存在CAA类型的解析记录。 解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五:CA验证服务器没有检测到DNS解析记录。 解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。
-
步骤二:配置Weblogic 登录Weblogic服务器管理控制台。 单击页面左上方“Lock & Edit”,解锁配置。 在“Domain Configurations”中,单击“Servers”。 图2 服务器 在服务器列表中,选择您需要配置服务器证书的Server,进入服务器的设置页面。 图3 目标服务器 修改HTTPS端口。 在服务器的配置页面,选择“General”页签,配置是否启用HTTP和HTTPS,以及访问端口号。 请勾选“Listen SSL Port Enabled”,并修改端口号为“443”。 图4 端口 配置认证方式和密钥。 在服务器的配置页面,选择“Keystores”页签,配置认证方式。 图5 认证方式 服务器身份认证请选择“Custom identity and Java Standard Trust”。 双向认证请选择“Custom Identity and Custom Trust”。 在“Identity”区域中,配置密钥。 配置密钥库文件server.jks所保存的服务器上的路径,并填写密钥库文件密码。 图6 密钥 Custom Identity Keystore:请填写jks文件保存路径。示例:C:\bea\server.jks Custom Identity Keystore Type:文件格式请填写“jks”。 Custom Identity Keystore Passphrase:请填在证书密码,即“keystorePass.txt”中的密码。 Confirm Custom Identity Keystore Passphrase:请再次填写证书密码。 在单向认证中,需要配置JRE默认信任库文件cacerts。 Cacerts默认密码为changeit。 图7 信任库文件 Java Standard Trust Keystore Passphrase:输入默认密码changeit。 Confirm Java Standard Trust Keystore Passphrase:再次输入默认密码。 配置服务器证书私钥别名。 在服务器的配置页面,选择“SSL”页签,配置以下参数: 图8 私钥 Identity and Trust Locations:请选择为“Keystores”。 Private KeyAlias:配置私钥库中的私钥别名信息。私钥别名可以使用keystool -list命令查看。 Private Key Passphrase:输入私钥保护密码。通常私钥保护密码和keystore文件保护密码相同。 Confirm Private Key Passphrase:再次输入私钥保护密码。 设置完成后,单击“Active Changes”,保存所有修改。 图9 保存配置 (可选)如果系统提示需要重启Weblogic,则需要重启后才能使配置生效。如图10所示,则无需重启。 图10 提示信息
-
步骤三:效果验证 部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。 如果浏览器地址栏显示安全锁标识,则说明证书安装成功。 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不安全提示?进行处理。 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过域名访问网站时,无法打开网站?进行处理。 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行处理。
-
后续处理 补充申请资料 CFCA品牌的证书提交证书申请后,CFCA机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章的CFCA证书申请表(确保控制台申请信息与申请表申请信息一致)、营业执照复印件和经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 vTrus品牌的国际标准(RSA)证书提交证书申请后,vTrus机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章或部门章的授权函、经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 提交审核后,CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。 您需要按照要求进行域名验证。具体操作请参见域名验证。 如果已提交了证书申请,发现信息填写错误,可撤销申请,修改信息后重新提交证书申请,撤回申请具体操作请参见撤回证书申请。
-
前提条件 已准备好需要上传证书的相关文件,具体如下: PEM编码格式的证书文件(文件后缀是PEM或者CRT)。 PEM编码格式的证书私钥文件(文件后缀是KEY)。 目前SSL证书管理平台只支持上传PEM格式的证书。其他格式的证书需要转化成PEM格式后才能上传,具体操作请参见如何将证书格式转换为PEM格式?。 更多关于证书链的相关配置请参见证书链配置说明。 证书私钥需要是无密码保护的,更多详细介绍请参见为什么要使用无密码保护的私钥?。 上传的证书,SCM会在证书到期前30天提醒您证书即将到期,同时还支持配置消息提醒,设置后SSL证书管理系统会在证书到期前两个月、一个月、一周、三天、一天和到期时,发送邮件和短信提醒用户,具体配置操作请参见如何配置SSL证书到期提醒?。
-
约束条件 您需要在ELB中创建监听器并完成其HTTPS配置,即您需要先在ELB服务中完成首次证书的配置,才能通过CCM服务更新SSL证书。 ELB中使用的证书如果指定了多个域名,更新证书前需要注意CCM证书的域名与其是否完全匹配。如果不完全匹配,则在CCM中执行更新证书操作后,会同时将ELB中使用的证书域名更新为当前CCM中证书的域名。 申请证书时,如果“证书请求文件”选择的是“自己生成
CS R”,由于云上没有该证书的私钥,签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书及私钥并进行部署。 国密证书暂不支持一键部署到华为云其他云产品。
-
约束条件 如果没有购买WAF,或数字证书所绑定的域名没有在WAF中开通服务,请不要将数字证书部署到WAF中,如部署将可能导致部署失败。 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,由于云上没有该证书的私钥,签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书及私钥并进行部署。 国密证书暂不支持一键部署到华为云其他云产品。
