华为云用户手册

SSL证书是如何收费的？ SSL证书管理服务为您提供了一种证书品牌为DigiCert品牌、证书类型为DV（Basic）、域名类型为单域名的用于测试的免费证书。关于免费证书的相关信息请参考申请免费证书。 除此之外，SSL证书管理服务会根据您选择的证书类型、证书品牌、域名类型、域名数量和购买时长进行收费。 详细的服务资费费率标准，请参见产品价格详情。 上传证书到SSL证书管理中进行集中管理，管理上传证书暂不收费。 父主题： 计费、续费与退订

在控制台访问SSL证书管理服务时，为什么服务显示没有权限访问或操作按钮显示为灰色？ 在控制台访问SSL证书管理服务时，出现服务显示没有权限访问或操作按钮显示为灰色的情况，请参照以下步骤进行处理： 在SSL证书管理服务中，无论是您的帐号权限不足还是帐号欠费，系统均会提示您没有执行此操作的权限。 如果您的权限不足，请联系您的管理员开通权限。开通后，再执行相应操作。 如果您的帐号已欠费，请您进行充值。充值后，再执行相应操作。 父主题： 证书咨询

证书链配置说明 上传证书到SSL证书管理中进行统一管理时，需要单独导入证书、证书链和私钥，并需要以PEM格式进行编码。 以下将以示例方式对证书文件格式进行说明。 如果您在编辑PEM文件时，将PEM文件中的任何字符编辑错误，或者在任何行的末尾添加一个或多个空格，则将导致证书、证书链或私钥无效，因此，请谨慎操作。 示例1：PEM编码的证书 图1 PEM编码的证书 示例2：PEM编码的证书链 一个证书链包含一个或多个证书。您可以使用文本编辑器将您的证书文件连接成一个链。证书必须按顺序连接，以便每个证书都直接证明前一个证书。 以下示例包含三个证书，您的证书链可能包含更多或更少。 图2 PEM编码的证书链 示例3：PEM编码的私钥（仅限私有证书） X.509版本3的证书使用公钥算法，因此，当您创建X.509证书或证书请求时，需要指定必须用于创建私钥-公钥对的算法和密钥位大小，并且需要将公钥放置在证书或请求中。 同时，您需要自行保留私钥密码。在导入证书时需要私钥，此时，私钥必须是未加密的，更多详细介绍请参见为什么要使用无密码保护的私钥？。 以下示例为PEM编码的RSA私钥： 以下示例为PEM编码的椭圆曲线私钥。根据您创建密钥的方式，可能不包括参数块。如果包含参数块，在导入过程中使用密钥之前将其删除。 父主题： SSL证书管理类

为什么安装了SSL证书后，https访问速度变慢了？ 安装了SSL证书后，访问网站时，HTTPS比HTTP要多几次握手的时间，HTTPS协议握手阶段比较费时，同时还要进行RSA校验，因此使用了SSL证书后，相较于HTTP访问，访问速度变慢了。 另外，会增加服务器CPU的处理负担，因为要为每一个SSL链接实现加密和解密，但一般不会影响太大。 为了减轻服务器的负担，建议注意以下几点： 仅为需要加密的页面使用SSL，如“https://www.domain.com/login.asp”，不要把所有页面都使用“https://”，特别是访问量大的首页。 尽量不要在使用了SSL的页面上设计大块的图片文件或者其他大文件，尽量使用简洁的文字页面。 父主题： 问题排查类

如何在服务器上安装SSL证书 SSL证书签发后，即可下载并安装Web服务器，在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书，您可以参考表1。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 由于服务器系统版本或服务器环境配置不同，在安装SSL证书过程中使用的命令或修改的配置文件信息可能会略有不同， 云证书管理服务 提供的安装证书示例，仅供参考，请以您的实际情况为准。 若参考文档安装证书后，HTTPS仍然不生效或遇到其他问题，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师为您排查具体问题。

续费SSL证书后，还需要重新安装SSL证书吗？ 需要重新安装SSL证书。 CA机构签发的每张SSL证书有效期最长只有1年，SSL证书到期后就会失效。 SSL证书续费操作相当于重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。因此，您需要将续费签发的新证书安装到您的Web服务器或部署到您在使用中的 华为云产品 （WAF/ELB/CBN）替换已过期的旧证书。 在华为其他云产品部署证书操作详情请参考如何将SSL证书应用到华为云产品？ 在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 父主题： 计费、续费与退订

替换或修改SSL证书绑定的域名 证书未签发 如果证书未签发，需要替换或修改当前证书绑定的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要替换或修改当前证书绑定的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持替换或修改证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

解绑SSL证书绑定的域名 证书未签发 如果证书未签发，需要解绑当前证书绑定的域名并绑定新的域名，可以撤回证书申请，具体操作请参见撤回证书申请。 证书已签发 如果您的证书在已签发后，需要解绑当前证书绑定的域名并绑定新的域名，“单域名”和“泛域名”证书可以重新签发证书，“多域名”证书不支持解绑证书绑定的域名，您需要重新购买证书。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA 品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。 重新签发证书的具体操作请参见重新签发。

增加SSL证书绑定的域名 如果您购买的是单域名类型的SSL证书： 需要重新购买证书。 如果您购买的是多域名类型的SSL证书： 该证书有可追加附加域名的额度，则可为该证书增加附加域名。具体操作请参见新增附加域名。 该证书没有可追加附加域名的额度，需要重新购买证书。 如果您购买的是泛域名类型的SSL证书： 如果需要增加的域名与证书绑定的域名在同一级别，则无需增加该域名，直接使用即可。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定test.huaweicloud.com，则无需绑定，直接使用已有证书即可。 如果需要增加的域名与证书绑定的域名不在同一级别，则需要重新购买证书。 示例：证书绑定的域名为*.huaweicloud.com，此次想要绑定abc.test.huaweicloud.com，则需要重新购买证书来绑定该域名。

私有证书的有效期是多久？ 私有证书的有效期是您根据申请证书时设置的有效期而定的。 私有证书由处于激活状态的CA进行签发，所以，私有证书有效期设置时须满足：私有证书有效期≤签发的私有CA有效期。 申请私有证书详细操作请参见申请私有证书。 图1 设置有效期 私有证书由处于激活状态的CA进行签发 证书申请成功后，可在私有证书列表页面查看证书到期时间，如图2所示。私有证书到期后，需重新申请。 图2 到期时间

SSL证书的安装和配置提供咨询服务吗？ 华为云 云证书管理 服务不提供SSL证书的安装和配置咨询服务。 华为云云证书管理服务提供了几种主流Web服务器安装国际标准SSL证书的示例，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 如果您在实际安装过程中遇到问题，由于您的实际业务环境需要人工排查，请单击一对一咨询购买SSL证书配置优化服务，联系专业工程师进行处理。 父主题： SSL证书安装类

吊销证书和删除证书的区别是什么？ 华为云SSL证书管理服务支持对证书进行吊销，也支持对证书进行删除。 证书的吊销和删除操作都不影响您再次购买证书。 两者的不同主要表现在以下两方面： 含义： 证书吊销：指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 证书删除：指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 限制条件： 证书吊销： 当您的证书状态为“已签发”，且您不需要使用证书，在证书私钥已丢失，或出于安全因素考虑等情况下，可申请吊销证书。 进入续费期的证书无法吊销，即证书到期前一个月内不支持吊销。 证书删除： 当您的证书状态为“已到期”、“托管中”、“已签发”的状态，可以在SCM的操作控制台执行删除操作。 父主题： SSL证书管理类

Windows系统如何验证DNS解析生效？ 如果您使用的是Windows操作系统，可参考本章节验证DNS验证是否生效。 提交证书申请后，您可以参考域名验证页面的提示完成域名DNS验证。 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表1 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图1所示，说明域名授权验证配置已经生效。 图1 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图2 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表2 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图3 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 若配置的生效时间未到，请等时间到了后再进行验证。 图4 生效时间 父主题： 验证域名所有权

证书格式转换 证书格式之间是可以互相转换的，如图1所示。 图1 证书格式转换 您可使用以下方式实现证书格式之间的转换： 将JKS格式证书转换为PFX格式 您可以使用JDK中自带的Keytool工具，将JKS格式证书文件转换成PFX格式。 例如，您可以执行以下命令将“server.jks”证书文件转换成“server.pfx”证书文件： keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PK CS 12 将PFX格式证书转换为JKS格式 您可以使用JDK中自带的Keytool工具，将PFX格式证书文件转换成JKS格式。 例如，您可以执行以下命令将“server.pfx”证书文件转换成“server.jks”证书文件： keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS 将PEM/KEY/CRT格式证书转换为PFX格式 您可以使用OpenSSL工具，将KEY格式密钥文件和CRT格式公钥文件转换成PFX格式证书文件。 例如，将您的KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）复制至OpenSSL工具安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pfx”证书文件： openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 将PFX格式证书转换为PEM/KEY/CRT格式 您可以使用OpenSSL工具，将PFX格式证书文件转化为PEM格式证书文件、KEY格式密钥文件和CRT格式公钥文件。 例如，将您的PFX格式证书文件复制至OpenSSL安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pem”证书文件、KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）： openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt 此转换步骤是专用于通过OpenSSL工具生成私钥和CSR申请证书文件，并且通过此方法您还可以在获取到PEM格式证书公钥的情况下，分离出私钥。在您实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署。

操作步骤 打开浏览器，访问“https://whois.domaintools.com/”网站。 输入需要查询的域名，单击“Search”，进入域名注册信息详情页面。 在注册信息中，查看“Name Servers”，确认域名所属的DNS服务器。 当“Name Servers”显示如所图1示时，则表示域名所属的“DNS服务器”为华为云DNS。 图1 Name Servers 请根据域名所属的DNS服务器进行DNS验证，执行以下操作： 域名所属的“DNS服务器”为华为云DNS：请参见如何进行DNS验证？，在华为云的云解析服务上进行DNS验证。 域名所属的“DNS服务器”不是华为云DNS：请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是：请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 参见如何进行手动DNS验证？，在华为云的云解析服务上进行DNS验证。 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

查看证书文件的格式 您可以使用以下方法简单区分带有后缀扩展名的证书文件： *.DER或*.CER文件：这样的证书文件是二进制格式，只含有证书信息，不包含私钥。 *.CRT文件：这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与*.DER及*.CER证书文件相同。 *.PEM文件：这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。*.PEM文件如果只包含私钥，一般用*.KEY文件代替。 *.PFX或*.P12文件：这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。 您也可以使用记事本直接打开证书文件。如果显示的是规则的数字和字母，则表示该证书文件是文本格式。 举例： —–BEGIN CERTIFICATE—–MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......—–END CERTIFICATE—– 如果存在“——BEGIN CERTIFICATE——”，则说明这是一个证书文件。 如果存在“—–BEGIN RSA PRIVATE KEY—–”，则说明这是一个私钥文件。

申请SSL证书时，如何填写证书中绑定的域名？ SSL证书管理中的证书是绑定域名的，因此购买证书时，需要根据您的域名情况，选择对应的域名类型。 如果购买的是纯IP证书，则只需要绑定IP，在“域名信息”中，“绑定域名”请填写需要绑定的公网IP。 如果您想了解域名的相关概念，请参见域名的相关概念。 选择域名类型并成功购买证书后，需要将对应的域名绑定给已购买的证书，即需要在SSL证书管理控制台补全证书审核资料。而申请证书的第一步就是填写域名信息，将对应的域名绑定给已购买的证书。 SSL证书管理控制台会根据您购买的证书提示您需要输入的域名类型。 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live等敏感词，可能无法通过安全审核，建议选择OV或EV证书，目前已知敏感词请参见敏感词。 各域名类型具体说明如表1所示，更多参考内容可查看具体示例。 表1 绑定域名 参数名称 参数说明 单域名 仅可绑定1个普通域名。 绑定域名时，绑定1个普通域名即可。 多域名 可绑定 多个域名 （购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。 例如，您购买的域名数量为3，则将其中1个域名设置为主域名，其他2个域名则设置为附加域名。 须知： 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 泛域名 仅可绑定1个泛域名。 绑定域名时，绑定1个含*的泛域名即可。 具体示例： 单域名型证书 当您购买的是单域名型证书，则仅支持绑定一个普通域名。 示例：您的域名为huaweicloud.com 申请证书时，则在“绑定域名”中填写huaweicloud.com即可，如图1所示。 图1 单域名绑定域名 多域名型证书 当您购买的是多域名型证书，则可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。附加域名可分批次多次录入，具体操作请参见新增附加域名。 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 示例：如果购买的是OV型SSL证书，域名数量为3，且您的域名为huaweicloud.com、test.huaweicloud.com和*.huaweicloud.cn 申请证书时，则在“绑定主域名”中填写huaweicloud.com，“绑定附加域名”填写test.huaweicloud.com和*.huaweicloud.cn。多个附加域名需要换行输入，如图2所示。 图2 多域名绑定域名 泛域名型证书 当您购买的是泛域名型证书，则支持绑定一个泛域名。 示例：您的域名为test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com、good.huaweicloud.com等，均在同一个级别 申请证书时，则在“绑定域名”中填写“*.huaweicloud.com”，如图3所示。 图3 泛域名绑定域名 父主题： 域名填写类

排查步骤 排除数字证书与终端不兼容的问题后，建议您按以下步骤进行检查： 首先建议您使用GlobalSign SSL Server Test工具进行检查： 如果检查结果中的证书品牌、证书类型、域名与您购买的不一致，请仔细检查服务器上数字证书的配置。 如果检查结果显示证书链不完整，请检查数字证书相关配置是否正确。 证书服务提供的PEM格式数字证书包含两段内容，两段内容中的任何一段都不能丢失。如果两段内容之间存在空白行，请删除空白行。配置修改完成后重启Web服务，并重新检查。 确保您的数字证书配置中已关闭了不安全的协议，如SSLv3等有已知隐患的协议。 检查您的网页中是否引用了一些HTTP资源。部分浏览器对HTTPS站点引用HTTP资源的情况会认为是不安全的。 如果一个域名有多台服务器，请您确认是否每台服务器都正确部署了证书。

操作步骤 证书申请中填写的域名是否已做实名认证。 如果域名已做实名认证，请执行2。 如果域名未做实名认证，请前往您的域名服务商处完成域名实名认证。 确认您已正确填写和提交证书申请订单。 如果填写确认无误，请执行3。 如果填写的信息有误，您可以取消申请。取消成功后，再提交证书申请。修改后，再执行3。 撤回申请详细操作请参见撤回证书申请。 提交证书申请详细操作请参见提交 SSL证书申请 。 确认您已按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“域名验证”、“组织验证”。 如果已完成，请执行4。 如果未完成，请按照提示进行操作。 域名验证详细操作请参见域名验证，域名验证完成后，请查看验证是否生效。 组织验证详细操作请参见组织验证。组织验证仅OV、OV Pro、EV、EV Pro类型证书需要。 查看域名验证是否生效。 具体验证方法请参见如何查看域名验证是否生效？。 如果已生效，请执行5。 如果未生效，请按照域名验证未生效如何处理？进行处理。 检查是否CAA（Certification Authority Authorization，证书颁发机构授权限制）限制了CA证书颁发。 是，您可以取消限制或者参考设置CAA记录防止错误颁发HTTPS证书添加一条CAA解析记录。 否，请执行6。 请您耐心等待。 申请证书后，CA机构将对您提交的信息进行审核。请您耐心等待。 审核期间，CA机构会通过电话联系您并指导您进行相关操作，请您务必保持手机畅通。如果CA机构无法及时联系到您，该订单的审核进度可能会延迟。 OV、EV类型证书审核时长 如果您购买的是OV或EV类型证书，请您需要耐心等待3~7个工作日。CA中心会在3~7个工作日内完成您的证书订单审核。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。如果CA中心无法及时联系到您，那么该订单的审核进度将可能会延迟。您的及时回复将能有效缩短SSL证书的验证时间。 DV类型或免费证书审核时长 域名授权验证完成后，CA中心将会在1~2个工作日内签发您的证书。 如果您的域名中包含某些敏感词（例如bank、pay、live等），可能会触发人工审核机制，审核时间会比较长，请您耐心等待。 免费证书申请后会在1~2个工作日内签发。根据CA中心审核流程耗时不同，您的证书有可能会在几个小时内就完成签发，也有可能需要2个工作日才能完成签发，请您耐心等待。

非华为云SSL证书如何配置到华为云服务中？ 非华为云证书是指在非华为云处申请的、并由CA机构签发的SSL证书，例如，在其他云服务提供商或线下证书供应商处申请的、并由CA机构签发的SSL证书。 SSL证书是由CA机构签发的，不论什么平台申请的都是一样的。 任何平台申请的或者任何品牌的SSL证书，只要是CA机构签发的均可在华为云中进行使用。但是，无法一键部署到WAF、ELB、CDN等云产品。因此，建议您使用在华为云平台申请的SSL证书，以便一键部署证书到对应云服务。部署后，可以帮助您提升云产品访问数据的安全性。 如需将非华为云SSL证书配置到华为云服务中，请根据需要选择具体操作： 表1 场景说明 场景 操作方法 将证书放在华为云的SSL证书管理中统一管理 上传到SSL证书管理中，详细操作请参见上传证书。 将证书配置到WAF、ELB、CDN中 SSL证书管理支持将证书一键部署到WAF、ELB、CDN，详细操作请参见部署证书。 将证书配置到其他华为云产品中 先将证书下载到本地，然后再到对应的云产品控制台上传数字证书并进行部署。 此处以将SSL证书运用到云速建站中为例进行说明。 通过SSL证书管理下载已签发的证书。 下载证书具体操作请参见下载证书。 在云速建站中进行配置。 具体操作请参见添加SSL证书。 配置过程中如有问题，请参考相应服务文档进行处理或咨询对应服务。 另外，如果您需要将证书配置到服务器上，请根据服务器类型进行配置。具体操作请参见如何在服务器上安装SSL证书？。 父主题： SSL证书应用类

证书格式转换为PEM格式 表1 证书转换命令 格式类型 转换方式（通过OpenSSL工具进行转换） CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令，以“cert.pfx”转换位“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem

证书编码格式为PKCS8时 由于华为云WAF、ELB、CDN服务暂时不支持PKCS8编码格式，因此，当您将PKCS8编码格式的证书上传到SSL证书管理平台，再部署至WAF、ELB、CDN三个服务时，会报错。 如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头，则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头，则说明该证书是PKCS1编码格式。 当您的公钥或者私钥的编码格式是PKCS8格式时，需要执行如下操作，才能将PKCS8编码格式的证书成功地运用到WAF、ELB、CDN服务。 证书格式是否为PEM格式。 是，执行2。 否，参照证书格式转换为PEM格式将证书格式转换为PEM后，再执行2。 执行如下命令将PKCS8编码格式转换为PKCS1编码格式。 PKCS8格式私钥转换为PKCS1格式 openssl rsa -in pkcs8.pem -out pkcs1.pem PKCS8公钥转PKCS1公钥 openssl rsa -pubin -in public.pem -RSAPublicKey_out 将转换后的证书上传至SSL证书管理平台，详细的操作请参见上传证书。 再将证书部署到对应的华为云服务，详细的操作请参见部署证书到云产品。

如何进行域名验证？ 按照CA中心的规范，如果您申请了 SSL数字证书 ，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。 当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，才会签发证书。 华为云SSL证书管理提供的域名验证方式具体说明如表1所示，请根据您申请证书时选择的验证方式进行操作。 表1 域名验证 参数名称 参数说明 自动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 自动DNS验证则系统自动添加DNS记录验证，无需您进行任何操作。以下条件必须全部满足系统才会进行自动DNS验证： 购买的是DV（域名型）证书 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务 手动DNS验证 DNS验证指在域名管理平台通过解析指定的DNS记录，验证域名所有权。 手动DNS验证则您需要前往域名的DNS解析服务商进行操作。具体操作请参见如何进行手动DNS验证？。 邮箱验证 指通过回复邮件的方式来验证域名所有权。具体操作请参见如何进行邮箱验证？。 文件验证 指通过在服务器上创建指定文件的方式来验证域名所有权。具体操作请参见如何进行文件验证？。 说明： 仅纯IP（公网IP）的证书通过“文件验证”方式进行验证。 DV（域名型）证书默认通过“DNS验证”方式进行验证。 如果您是在华为云本平台上申请的域名，且域名已使用华为云云解析服务，则系统将进行自动DNS验证，您无需进行任何操作。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要进行手动DNS验证。 父主题： 验证域名所有权

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/whois.txt或http://example.com/.well-known/pki-validation/whois.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

购买和使用单域名扩容包的约束与限制 Digicert DV(basic) 单域名扩容包属于增值服务类产品，需支付一定的费用，该费用是针对已领取过华为云提供的20张免费证书额度的用户，收取的扩容服务费用。 发票将按照购买Digicert DV(basic) 单域名扩容包时的实付金额开具等额发票，之后使用Digicert DV(basic) 单域名扩容包额度申请的免费证书不再开具发票。 Digicert DV(basic) 单域名扩容包一经购买，则不支持退款、退货、换货。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

提交了吊销或删除证书的申请，是否可以取消？ 不可以。 吊销申请提交后或删除证书的操作执行后，将无法取消，请谨慎操作。 证书吊销指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 提交吊销申请后，将由CA机构审核，审核通过后，吊销操作才算完成。 因为吊销过程中无需用户执行任何操作，且CA机构审核流程较快，所以，提交吊销申请后，将无法取消，请谨慎操作。 证书删除指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 提交删除操作后，华为云将直接执行删除操作，无需CA机构审核，将立即被删除。因此，执行删除操作后，将无法取消，请谨慎操作。 父主题： SSL证书管理类

收到CA机构的邮件或电话如何处理？ SSL证书申请过程中，如果收到证书相关的邮件或电话，请在确认是CA机构的邮件或电话后，尽快根据邮件或电话内容进行相应处理，以免影响证书审核进度。 以下几种情况CA机构可能会给你发送邮件或打电话： 验证域名所有权 原因：证书申请过程中，按照CA中心的规范，您必须配合完成域名授权验证来证明您对所申请绑定的域名的所有权。 处理方法：请根据邮件内容进行验证域名所有权操作。详细操作可参见域名验证。 组织验证 原因：申请OV和EV类型证书时，CA机构将联系组织的公开电话，确认组织是否发起了此次的证书订单申请。 处理方法：CA机构将通过组织的公开电话与您联系，请您留意并及时进行处理。 父主题： SSL证书审核

SSL证书签发后，如何使用？ CA机构审核通过后，将签发证书。证书签发后，即可使用。 通过华为云SCM签发的证书。 将产品用于华为云WAF、ELB、CDN云产品中。通过一键部署证书到具体的服务，具体的方法请参考部署证书到云产品。 将证书部署到其他云产品中。先将证书下载到本地，再到对应的云产品控制台上传数字证书并进行部署。 将证书配置到服务器上。先将证书下载到本地，再参照如何在服务器上安装SSL证书？将证书部署到对应的服务器上。 非华为云签发的证书。 将证书部署到云产品中，先将证书下载到本地，再到对应的云产品控制台上传数字证书并进行部署。 将证书配置到服务器上。先将证书下载到本地，再参照如何在服务器上安装SSL证书？将证书部署到对应的服务器上。 父主题： SSL证书应用类