华为云用户手册

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：配置Resin 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 （可选）安装Resin。 如果已安装，则请跳过该步骤。 登录Resin官网并根据您的系统下载不同的应用程序包。 本步骤以下载Windows版本的Resin-4.0.38版本为例进行说明。 解压下载的Resin包。 进入Resin-4.0.38根目录并找到resin.exe文件。 运行resin.exe文件，运行期间将出现如图2所示的命令提示符窗口。 图2 提示窗口 运行完成后，启动浏览器，在Web地址栏中输入Resin默认地址“http://127.0.0.1:8080”，并按“Enter”。 当界面显示如图3所示时，则表示安装成功。 图3 登录Resin 修改配置文件。 在Resin安装目录下的“Resin.properties”配置文件（由于Resin版本的不同，配置文件也可能为“resin.xml”文件）中，找到如下参数： # specifies the --server in the config file# home_server : app-0# Set HTTP and HTTPS bind address# http_address : *# Set HTTP and HTTPS ports.# Use overrides for individual server control, for example: app-0.http : 8081app.http : 8080# app.https : 8443web.http : 8080# web.https : 8443 将“app.https”和“web.https”前的注释符“#”去掉，并将“8443端”口修改为“443”。修改后，如下所示： “app.https”、“web.https”：指定服务器要使用的端口号，建议配置为“443”。 # specifies the --server in the config file# home_server : app-0# Set HTTP and HTTPS bind address# http_address : *# Set HTTP and HTTPS ports.# Use overrides for individual server control, for example: app-0.http : 8081app.http : 8080app.https : 443web.http : 8080web.https : 443 找到如下参数，并将“jsse_keystore_tye”、“jsse_keystore_file”和“jsse_keystore_password”三行前的注释符“#”去掉。 # JSSE certificate configuration# Keys are typically stored in the resin configuration directory.jsse_keystore_tye : jksjsse_keystore_file : cert/server.jksjsse_keystore_password : 证书密码 修改证书相关配置参数，具体配置请参见表1。 # JSSE certificate configuration# Keys are typically stored in the resin configuration directory.jsse_keystore_tye : jksjsse_keystore_file : cert/server.jksjsse_keystore_password : 证书密码 表1 参数说明 参数 参数说明 jsse_keystore_tye 设定Keystore文件的类型，一般都设为jks jsse_keystore_file “server.jks”文件存放路径，绝对路径和相对路径均可。示例：cert/server.jks jsse_keystore_password “server.jks”的密码。填写“keystorePass.txt”文件内的密码。 须知： 如果密码中包含“&”，请将其替换成“&”，以免配置不成功。 示例： 如果keystorePass="Ix6&APWgcHf72DMu"，则修改为keystorePass="Ix6&APWgcHf72DMu"。 修改完成后保存配置文件。 重启Resin。

后续处理 提交审核后，证书颁发机构将向您填写的邮箱发送一封域名验证邮件，您需要按照需求进行域名验证。如果您不进行域名验证，您的证书将一直处于“CA审核中（追加域名）”状态，且您的证书将无法通过审核。验证时间根据不同CA中心的要求而不同，请您关注您的邮箱和电话，及时回馈能有效缩短您的数字证书的验证时间。 新增附加域名仅需进行域名验证，待域名验证完成，CA系统中心审核通过后，即可签发证书。 域名验证详细操作请参见域名验证。

SSL证书使用概述 华为云SSL证书提供多个品牌和类型的证书，详情请参见各证书之间的区别。本文档介绍如何购买和使用华为云SSL证书。 您的网站使用SSL证书后，将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 相关流程如图 证书使用流程所示，具体说明如表 证书使用流程说明所示。 图1 证书使用流程 表1 证书使用流程说明 步骤 操作 说明 1 购买SSL证书 在SSL证书管理平台，根据您的域名类型选购对应的证书。 各类型证书之间的区别以及选择请参见各类型SSL证书之间的区别、如何选择SSL证书？。 2 提交 SSL证书申请 成功购买证书后，您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。 3 域名验证 按照CA中心的规范，证书提交申请后您需要配合完成域名授权验证来证明您对所申请绑定域名的所有权。 SCM提供有以下几种验证方式： 自动DNS验证：符合条件的证书可选。 手动DNS验证：所有类型证书均可选。 邮箱验证：仅OV、EV型证书可选。 文件验证：仅IP证书支持。 4 组织验证（OV、EV） 仅当申请OV、OV Pro、EV和EV Pro类型证书时，需要该操作。 域名验证完成后，CA机构需要确认企业/组织是否发起了此次的证书订单申请。 5 签发SSL证书 验证完成后，CA机构还需要一段时间进行处理，请您耐心等待。具体申请时间请参见各证书的申请时长。 CA机构审核通过后，将签发证书。证书自签发之时开始生效，有效期为1年。 6 安装SSL证书 证书签发后，您可以一键部署证书到华为云其他云产品或下载证书并安装到服务器上进行使用。 将证书部署到其他云产品后，将帮助您提升对应云产品访问数据的安全性。 SSL证书安装到Web服务器后，您的Web服务器才能实现HTTPS加密通信，实现通信安全。 7 续费SSL证书 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长为一年，证书到期后将不再被浏览器信任，建议您提前开通自动续费或在证书即将到期前三十天进行手动续费，避免因证书过期对您的业务产生影响。 SSL证书续费操作相当于重新申请了一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。证书续费后，您需要将续费签发的新证书重新安装到您的Web服务器或部署到华为云其他云产品，替换即将过期的旧证书。 8 吊销SSL证书 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在SSL证书管理控制台申请吊销证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。

SSL证书部署失败怎么办？ 证书管理支持将上传的证书和通过SCM签发的证书一键部署到弹性负载均衡（Elastic Load Balance，ELB）、 Web应用防火墙 （Web Application Firewall，WAF）、CDN（Content Delivery Network，内容分发网络）等其它 华为云产品 中。但是以下情况会导致部署失败： 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署。 解决方法： 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成 CS R”，那么签发的证书不支持部署到云产品。 解决方法： 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 没有购买对应的云产品，或数字证书所绑定的域名没有在对应的云产品中开通服务，部署将可能导致部署失败。 解决方法： 没有购买对应的云产品或在对应的云产品中开通服务 如果您已将证书部署或者上传到对应的云产品中，即目标证书在对应的云产品中已存在，再次通过SCM平台部署时，将会部署失败。 解决方法： 查看是否已部署，如果SSL已部署则无需再次部署。 父主题： SSL证书应用类

系统生成CSR 宝塔面板一般包含Apache环境和Nginx环境。 Nginx环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图1所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.crt”的内容复制粘贴到“证书(PEM格式)”的配置框中。 Apache环境配置SSL证书的方法 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示。 图2 本地解压SSL证书 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名_server.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。 打开宝塔网站的“SSL”界面。 将“证书ID_证书绑定的域名_server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 “证书ID_证书绑定的域名_server.crt”文件和“证书ID_证书绑定的域名_ca.crt”文件合并后录入到“证书(PEM格式)”的配置框中。 “server.crt”文件和“ca.crt”文件合并时，一定是“server.crt”内容在前，“ca.crt”内容在后，顺序不正确会导致Apache无法正常启动。 如果您的证书不是通过SCM签发的，下载的crt文件对应的名称是“_public.crt”和“_chain.crt”，与SCM签发的证书文件的对应关系是： “_public.crt”文件对应“server.crt”文件。 “_chain.crt”文件对应“ca.crt”文件。 合并时，“_public.crt”文件内容在前，“_chain.crt”文件内容在后。

自己生成CSR 此时，不区分Apache环境和Nginx环境，均按以下步骤进行操作。 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 打开宝塔网站的“SSL”界面。 将生成CSR时的私钥“server.key”的内容复制粘贴到“密钥(KEY)”的配置框中。 将“证书ID_证书绑定的域名_server.pem”的内容复制粘贴到“证书(PEM格式)”的配置框中。

上传证书时，“证书文件”该如何填写？ SCM支持用户将所拥有的证书上传到SSL证书管理平台，以便在SSL证书管理平台对您的证书进行统一管理。 上传已有证书到SCM中时，需要上传“证书文件”，如图1所示。 图1 证书文件 目前SSL证书管理平台只支持上传PEM格式的证书文件。 上传证书文件时，以文本方式打开待上传证书里的PEM格式的文件（后缀名为“.pem”），将证书内容复制到图1的“证书文件”中即可。 如果上传时，系统提示证书链不完整，请参见以下方式进行处理： 一般情况下，中级机构颁发的证书文件包含多份证书，如包含服务器证书和证书链2个*.PEM格式的证书内容。在SCM中上传证书文件时，需要将所有证书拼接在一起组成一份完整的证书后再上传。更多证书链相关介绍请参见证书链配置说明。 拼接时，须按照“服务器证书-证书链”的顺序进行拼接，具体方法如下： 通过记事本打开所有*.PEM格式的证书文件。 将服务器证书放在首位，再放置证书链。 一般情况下，中级机构在颁发证书的时候会有对应说明，请注意查阅相关规则。通用的规则如下： 证书之间没有空行。 证书链的格式如下： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- 拼接后的证书文件如图2所示。 图2 拼接后的PEM证书文件 父主题： SSL证书管理类

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查类

SSL证书是否可以跨帐号使用 可以。 SSL证书签发后，可跨帐号进行使用。 示例1： A帐号购买的SSL证书，证书签发后可以给B帐号的服务器使用。 因为证书是绑定域名，所以，要求域名和证书绑定的域名一致，否则会报不安全。 示例2： A帐号下的证书可以使用部署功能将证书部署的A帐号下的其他云产品，比如WAF、ELB、CDN等。 但是，A帐号下的证书不能跨帐号部署到B帐号下的产品。 如需在B帐号下使用A帐号中申请的证书，则可先将A帐号中申请的证书下载后，再在B帐号中进行使用。

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站 数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

概念 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理服务，实现网站的可信认证与安全数据传输。 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。您可以通过简单的可视化操作，建立自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。

系统生成的CSR和自己生成CSR的区别？ 证书请求文件（Certificate Signing Request，CSR）即证书签名申请，获取SSL证书，需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称（Distinguished Name），通常从Web服务器生成CSR，同时创建加解密的公钥私钥对。 申请证书时，需要设置“证书请求文件”，您可以选择“系统生成的CSR”，也可手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。两者之间的区别如表1所示。 表1 CSR的比较 证书请求文件 说明 区别 系统生成的CSR 系统将自动帮您生成证书私钥，并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。 选择“系统生成CSR”，在数字证书颁发后还可以支持不同格式的证书下载。 “系统生成CSR”，下载证书后，证书文件“server.jks”和密码文件“keystorePass.txt”已自动生成好，可以直接安装使用。 自己生成CSR 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。 详细操作请参见如何制作CSR文件？。 “自己生成CSR”的证书不支持一键部署到云产品。 手动生成CSR文件的同时会生成私钥文件，请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应，一旦丢失了私钥，您的数字证书也将不可使用。华为云不负责保管您的私钥，如果您的私钥丢失，您需要重新购买并替换您的数字证书。 “自己生成CSR”，下载证书后，需要使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到“server.pfx”文件，再使用Keytool工具，将PFX格式证书文件转换成JKS格式，得到“server.jks”证书文件和“keystorePass.txt”密码文件，然后才可以安装部署。 根据以上的比较，建议您选择“系统生成CSR”，可以规避CSR内容不正确而导致证书审核失败。 父主题： 域名填写类

SSL证书安装与应用 将SSL证书应用到华为云产品中 非华为云SSL证书如何配置到华为云服务中？ 如何将证书应用到华为云产品？ 部署证书到云产品 将SSL证书部署到服务器上使用 下载证书 如何在服务器上安装SSL证书？ SSL证书支持在哪些服务器上部署？ SSL证书支持在哪些地域部署？ 宝塔搭建的网站如何在后台添加SSL证书？ SSL证书的安装和配置提供咨询服务吗？ 部署了SSL证书后问题排查 部署了SSL证书后，为什么网站仍然提示不安全？ 部署了SSL证书后，为什么通过域名无法访问网站？ 为什么安装了SSL证书后，https访问速度变慢了？ 为什么配置了SSL证书仍存在用户访问时提示不受信任？ 证书部署后，浏览器是否会弹出不安全提示？ 如何解决证书链不完整？

OV、OVPro型或EV、EV Pro型证书 如果您购买的是OV、OVPro或EV、EV Pro类型证书，成功购买证书后，您需要按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“申请证书”、“域名验证”、“组织验证”。 以上操作完成后，您只需要耐心等待，CA机构（证书的签发方）可能还需要一段时间审核。CA机构审核通过后，您的数字证书将会签发。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。

约束条件 更新SSL证书到ELB时，有以下几点限制条件，请您提前确认： 您已在ELB中配置过证书，即您需要先在ELB服务中完成首次证书的配置，才能通过SCM服务更新证书。ELB中创建证书详细操作请参见创建证书。 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书，需要指定域名，才可在SCM中完成更新证书的操作。 ELB中使用的证书若指定了 多个域名 ，更新证书前需要注意SCM证书的域名与其是否完全匹配。若不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署，您可以先将证书下载到本地，然后再到WAF控制台上传证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。 证书为国际标准SSL证书。

申请SSL证书时应该使用哪个域名？ 关于申请 SSL数字证书 时应该如何选择申请域名，本文将通过一个简单的示例进行描述。 例如，您的网站为“www.domain.com”。其中，有一个用户登录页面“http://www.domain.com/login.asp”，您想要申请一张SSL数字证书确保用户输入用户名和密码时的安全，确保用户信息不会在传输过程中被非法窃取。同时，还有一个用户登录的信息管理页面“http://www.domain.com/oa/manage.asp”，您也希望使用SSL数字证书来保障内部管理系统中的机密信息的安全。这种情况下，您使用域名“www.domain.com”申请SSL数字证书即可实现对这类页面的保护。 如果您的网站访问量较大，建议您为需要使用SSL数字证书的页面设置一个独立的Web服务器（HTTP server），并使用一个独立的域名来申请SSL数字证书，例如：secure.domain.com或ssl.domain.com。 “https://”的使用必须与申请SSL数字证书的域名一致，否则浏览器可能会出现“安全证书上的名称无效,或者与站点名称不匹配”警告。请根据您网站的具体情况使用合适的域名来申请SSL数字证书。 父主题： 域名填写类

提交SSL证书申请后，发现证书信息错误或变更怎么办 判断错误的信息是否会影响证书的审核或使用。 是，执行2。 否，请根据实际情况进行处理。 未签发：请继续执行后续操作，等待证书的审核。 已签发：无需处理，可正常使用证书。 查看证书是否签发。 证书未签发 提交证书申请后，发现证书信息填写错误或变更，可撤回申请。 具体的操作请参见撤回证书申请。 证书已签发 证书已签发且在规定时间内（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，“单域名”和“泛域名”证书可通过重新签发功能来进行修改，具体操作请参见重新签发，“多域名”证书、免费证书不支持重新签发，您需要重新购买证书，具体操作请参见购买证书。 证书已签发且已超过规定时间（GlobalSign品牌：证书签发后的5天内，DigiCert品牌和GeoTrust品牌：证书签发后的25天内），如果发现证书信息填写错误或变更，则需要重新购买证书。

一个SSL证书能够绑定几个域名 用户在购买证书时，需要根据实际情况选择域名类型。域名类型不同，支持绑定的域名数量也差异。具体的情况如表1所示。 表1 不同的域名类型可绑定的域名数量 证书类型 支持的域名类型 可绑定的域名数量 OV、OV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 EV、EV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 DV 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（GeoTrust入门级SSL证书） 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（DigiCert 免费SSL证书 ） 单域名 1个。

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图4所示，说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 若配置的生效时间未到，请等时间到了后再进行验证。 图7 生效时间

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

哪些网站必须启用HTTPS加密？ 在越来越重视信息安全的今天，HTTPS协议站点无疑已经成为主流。就目前形势而言，以下网站必须启用HTTPS协议加密： 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看，HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型，启用HTTPS协议加密既是网站安全的必然需要，也是公司发展的提前布局。 父主题： 证书咨询

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

域名的相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如：“*.a.com”是正确的泛域名，但“*.*.a.com”则是不正确的。 一个泛域名算一个域名。关于泛域名的匹配关系，请参考泛域名证书支持哪些域名？。 普通域名 普通域名是相对泛域名来说的，是一个具体的域名或者说不是通配符域名。 例如：“www.a.com”或“a.com”都算一个普通域名。 普通域名能绑定的数量，取决于您证书订单中选择的域名个数。 如“buy.example.com”或“next.buy.example.com”各个明细子域名都算一个域名。 域名级别 域名由一或多个部分组成，这些部分通常连接在一起，并由点分隔，例如www.huaweicloud.com。最右边的一个标签是顶级域名，一个域名的层次结构，从右侧到左侧隔一个点依次下降一层。 域名的第一级是顶级域名，顶级域名下一层是二级域名，一级一级地往下。域名层次结构具体划分情况如表1所示。 表1 域名层级结构 参数名称 参数说明 顶级域名 域名中最高的一级，每个域名都以顶级域结尾。它包括通用顶级域（例如.com、.net、.org等）、国际和地区顶级域（例如.us、.cn、.tk等）和新通用顶级域名（例如.info、.biz等）。 二级域名 顶级域名下面是二级域名，它位于顶级域名的左侧。例如，在example.com中，example是二级域名。 三级域名 二级域名下面是三级域名，它位于二级域的左侧。例如，在www.example.com中，www是三级域名。 以此类推，在上一级域名最左侧进行域名级别的拓展。 以abc.huaweicloud.com为例，进行域名层次结构说明： .com为顶级域名。 huaweicloud.com为1个二级域名。 abc.huaweicloud.com为1个三级域名。 父主题： 域名填写类

什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件，如果私钥文件是如下样式，则说明您的私钥是已加载密码保护的： PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY-----......BASE64 私钥内容......-----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容......-----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的，您可以转换成无密码的密钥文件。关于具体转换方式，请参考主流数字证书有哪些格式？。

私有证书签发后，能否停用私有CA？ 您可以根据实际情况选择以下方法停用私有CA的部分功能或者停用私有CA： 如果您不再需要使用某个私有CA来签发证书，但需要保留其吊销证书和签发证书吊销列表的功能，您可以禁用该私有CA。禁用私有CA后，其下所有证书使用不受影响。禁用私有CA详细操作请参见禁用私有CA。 私有CA禁用期间也将持续计费。 如果您不再需要使用某个私有CA，您可以删除该私有CA。删除私有CA后，将不再计费，其下已经导出的证书（未被吊销）仍可使用，但该私有CA下的所有证书都将无法执行“吊销”操作，无法再更新证书吊销列表，并且该私有CA和其子CA下所有私有证书将无法执行“导出”操作。删除私有CA详细操作请参见计划删除私有CA。 父主题： 私有证书使用类

如何去除私钥密码保护 如果您的密钥已经加载密码保护，可以通过OpenSSL工具运行以下命令去掉密码保护： openssl rsa -in encryedprivate.key -out unencryed.key 其中，“encryedprivate.key”是带密码保护的私钥文件；“unencryed.key”是去掉了密码保护的私钥文件，扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥，当需要将该证书部署给CDN时，需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的，即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式，则需要使用工具转换证书的格式。具体转换方式，请参考主流数字证书有哪些格式？。

购买或续费选择的多年期证书，为什么新证书的有效期只有1年？ 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长只有1年。 华为云 云证书管理服务 提供的多年有效期的SSL证书是一次购买多年SSL证书的解决方案，多年有效期SSL证书实际为多张有效期为1年的SSL证书依次生效，例如您购买或续费的有效期为“2年”的证书，实际包含2张有效期为1年且规格相同的证书，在第一张证书1年有效期到期前30天，系统会自动以您第一张证书的信息为您申请第二张证书。 父主题： 证书有效期

DV证书DNS验证失败该如何处理？ DV证书通过 云证书管理 控制台“验证”功能校验DNS解析结果时，验证失败，请参照下表提示进行排查处理后重新验证： 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。 父主题： 验证域名所有权

续费限制说明 手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的，已签发且即将到期的付费SSL证书进续费，上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。 开启自动续费后，系统会在原证书即将到期前30天内自动为您购买一张相同规格的新证书，并且以原证书的申请信息提交证书申请，由于证书申请需要校验申请者的域名所有权、身份，因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。 续费证书与原证书为独立的两张证书，因此续费证书签发后您需要安装到Web服务器或部署到华为云产品。 续费签发的新证书有效期为续费有效期（如1年）加上原证书剩余有效期。例如，您已签发的1年有效期证书将于2022年11月30日过期，如果您在2022年11月25日完成续费购买和签发，则续费签发证书的有效期将在2023年11月25日的基础上再加上5天，即2023年11月30日。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期，新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）不完全相同，则新签发证书的有效期为一年（可能与原证书过期前未使用的有效期存在重合），无法自动补齐原证书剩余的有效期。