华为云用户手册

响应示例 状态码： 200 正常响应 { "data" : { "jobs" : [ { "job_id" : "1564567b8bab40f34711234cb80d0123", "status" : -1, "error_code" : "CPS0005", "error_msg" : "Phone not found.", "execute_msg" : null }, { "job_id" : "1564567b8bab40f34711234cb80d0456", "status" : 2, "error_code" : "", "error_msg" : "", "execute_msg" : "xxxxxx" } ] }, "error_code" : "0", "error_msg" : "ok" }

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 父主题： 使用前必读

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 否 application/json Content-Length 请求body长度，单位为Byte。 否 3495 X-Auth-Token 用户Token。 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 请求响应成功后在响应消息头（Headers）中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注：以下仅为Token示例片段。 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 1 2 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中的“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URL中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从管理员处获取。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 KOOPHONE.API.1000 请求参数错误 请求参数错误 检查请求参数类型及范围是否如何接口定义 400 KOOPHONE.API.1002 实例非同一个大区 实例非同一个大区 修改请求实例为同一个大区 401 KOOPHONE.API.1001 无实例权限 无实例权限 检查请求传入的实例id是否正确 500 KOOPHONE.API.9999 服务器内部错误 服务器内部错误 请联系华为侧运营人员检查系统是否正常 父主题： 附录

响应示例 状态码： 200 实例鉴权接口返回设备信息 { "data" : { "resource" : { "sdk" : { "internal" : { "address" : null, "aport" : null, "atype" : null, "address_ipv6" : null }, "external" : { "address" : "10.83.71.187", "aport" : 10030, "atype" : 1, "address_ipv6" : null } }, "rtc" : { "ice_signaling" : { "signaling_url" : "http://100.93.2.248:18082", "expired_time" : null, "ice_servers" : [ ] } }, "device_id" : "7b0cd026df8d495b8a65d628d7bec433", "kp_id" : "Q39YyZvI" }, "device_token" : "dee5081f40c83ddea3ded91c387351e9" }, "error_code" : "0", "error_msg" : "ok" } 状态码： 400 请求错误 { "error_code" : "string", "error_msg" : "string" } 状态码： 500 内部错误 { "error_code" : "string", "error_msg" : "string" }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 data data object 反参全部信息 error_code String 错误码， 0表示成功 error_msg String 错误信息 表4 data 参数 参数类型 描述 resource resource object 资源集合 device_token String 设备鉴权token 表5 resource 参数 参数类型 描述 sdk sdk object sdk信息 rtc rtc object rtc信息 device_id String 设备id kp_id String 云机实例Id，如whklpuo1 表6 sdk 参数 参数类型 描述 internal internal object 内网信息 external external object 外网信息 表7 internal 参数 参数类型 描述 address String 内网ip地址 aport String 音频端口 atype String 音频类型 address_ipv6 String ipv6地址 表8 external 参数 参数类型 描述 address String 外网eip地址 aport Integer 音频端口 atype Integer 音频类型 address_ipv6 String 外网ipv6地址 表9 rtc 参数 参数类型 描述 ice_signaling ice_signaling object ice信令信息 表10 ice_signaling 参数 参数类型 描述 signaling_url String 信令服务访问地址 expired_time String streaming时长。单位秒 ice_servers Array of strings ICE 服务器 状态码： 400 表11 响应Body参数 参数 参数类型 描述 error_code String 响应码，错误码规范KOOPHONE.API.0001，数字递增 error_code为0时表示成功 error_msg String 响应描述 状态码： 500 表12 响应Body参数 参数 参数类型 描述 error_code String 响应码，错误码规范KOOPHONE.API.0001，数字递增 error_code为0时表示成功 error_msg String 响应描述

如何停止私有CA或私有证书的计费？ 私有CA和私有证书支持按需计费。其中，根CA创建后即开始计费；子CA创建后不收费，激活后才开始计费。 如需停止计费，删除申请的私有CA和私有证书即可。 具体操作请参见删除私有CA，吊销私有证书。 私有CA禁用期间也将保持收费。 用户执行删除私有CA操作后，私有CA不会立即删除。计划删除最快7天生效（根据您设置的推迟时间为准）。在此期间收费情况说明如下： 如果用户未取消计划删除，私有CA被删除了，则在计划删除期间的私有CA不会收费； 如果用户在计划删除期间，取消了计划删除，私有CA未被删除，则在计划删除期间的私有CA将保持收费。 例如：您在2022年01月01日00:00执行了删除私有CA的操作，且设置的私有CA计划删除推迟时间为7天，7天后私有CA被删除，那么，PCA服务将不收取这7天的费用；如果您在2022年01月04日00:00取消了计划删除，私有CA未被删除，那么，PCA服务将补齐2022年01月01日00:00至2022年01月04日00:00期间的费用。

续费相关的功能 SSL证书续费相关的功能如所示。 表1 续费相关的功能 功能 说明 手动续费 SSL证书的手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 自动续费 开通自动续费后，系统将在证书即将到期前30天内自动续费购买一张相同规格的新证书，并以原证书的申请信息提交证书申请，由于证书申请需要校验申请者的域名所有权、身份、因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。

约束与限制 满足以下条件（必须全部满足）的SSL证书订单，可申请退订： 您通过华为云SSL证书管理控制台购买了SSL证书。 距离SSL证书订单下单时间（完成支付的时间）不超过7个自然日，即距离SSL证书订单完成支付时间顺延不超过7*24小时。 例如，12月1日12:00完成SSL证书订单支付，则在12月8日11:59前可以退订，12月8日11:59后将不支持退订。 购买7天后不支持退款。 已购买的SSL证书符合以下情况之一： 未提交证书申请，证书状态为“待申请”。 提交过证书申请，证书未签发，且已取消申请，证书状态为“待申请”。 提交过证书申请，证书已签发，且在下单后7个自然日内完成了证书吊销流程（不仅是提交了吊销申请，须完成吊销流程），证书状态为“已吊销”。 全额退款将退还您在购买SSL证书时所支付的费用。 退款仅限于退还您在购买或续费SSL证书或相关服务订单时所支付的费用，代金券、优惠券抵扣的部分不支持退回。 多年期证书，第一张证书已签发，并在下单后7个自然日内完成了证书吊销流程，支持全额退订。

计费说明 云证书管理服务 的计费项由SSL证书管理和私有证书管理费用组成，具体内容如表 云证书管理 服务计费项所示 ： 表1 云证书管理服务计费项 计费项 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书的类型、品牌、年限、购买量计算费用 一次性计费 一次性计费：不同规格证书单价*购买数量 DV（Basic）单域名证书（免费试用）扩容包 每个账号有20张免费证书额度，当额度用完时需要购买扩容包。 单次扩容支持购买量为20张 一次性计费 一次性计费：扩容包单价*购买数量 证书安装指导服务 根据提供的服务内容和服务时间段可选择初级服务和高级服务 一次性计费 一次性计费：服务单价*购买次数 证书部署服务 在2023年11月15日之后创建并签发的测试证书和第三方证书部署在 华为云产品 ，支持按需购买。 按需计费 证书部署服务单次价格*部署次数 域名证书监控服务 根据域名证书监控服务的规格和购买时长计费 包年/包月 域名证书监控服务单价*购买时长 私有CA 首次创建私有CA时，须先创建根CA 包年/包月 私有CA单价*计费时长 私有CA单价*购买时长 私有证书 申请私有证书的前提条件为已创建并激活私有CA 按需计费 私有证书单价*私有证书个数

续费限制说明 手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的，已签发且即将到期的付费SSL证书进续费，上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。 开启自动续费后，系统会在原证书即将到期前30天内自动为您购买一张相同规格的新证书，并且以原证书的申请信息提交证书申请，由于证书申请需要校验申请者的域名所有权、身份，因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。 续费证书与原证书为独立的两张证书，因此续费证书签发后您需要安装到Web服务器或部署到华为云产品。 续费签发的新证书有效期为续费有效期（如1年）加上原证书剩余有效期。例如，您已签发的1年有效期证书将于2022年11月30日过期，如果您在2022年11月25日完成续费购买和签发，则续费签发证书的有效期将在2023年11月25日的基础上再加上5天，即2023年11月30日。 Digicert DV(basic) 泛域名证书的续费入口仅在到期前15个自然日内开放。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期，新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）不完全相同，则新签发证书的有效期为一年（可能与原证书过期前未使用的有效期存在重合），无法自动补齐原证书剩余的有效期。

包年/包月资源 对于包年/包月计费模式的资源，例如包年/包月的私有CA，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

一次性计费资源 对于一次性计费的资源（SSL证书）用户在购买时会一次性付费，证书在到期后会自动停止使用。 如果在购买SSL证书后，不再需要使用SSL证书资源，您可以执行退订操作。 SSL证书支持7天无理由退款 ，但如需提交退款申请，距离SSL证书下单时间不能超过7个自然日 ，即距离SSL证书订单完成支付时间顺延不超过7*24小时。 更多关于退订操作的限制说明请参见退订SSL证书。 如果您已开启自动续费功能，为避免继续产生费用，请在证书的自动续费扣款日（证书到期前30天）之前关闭自动续费。

计费项详情 下表罗列了关于SSL证书的所有计费项服务，请您根据实际情况，按需购买。 不同计费项的具体价格，请以购买页显示为准。 表1 SSL证书计费项服务 服务 说明 SSL证书 证书服务时长可选择1年、2年、3年。 说明： 购买的证书时间越长，可享受折扣越大 测试证书扩容包 每个华为云账号有20张免费证书额度，如您的免费证书额度已用完，并且还需要继续使用免费证书，则需购买扩容服务。 单次支持扩容的证书数量：20张。 证书安装指导 华为云提供： 初级服务： 工作日9:00-18:00 包括服务内容：证书安装服务、证书检测服务、漏洞检测服务、ATS检测服务、兼容检测服务、CIM智能管理系统服务。 高级服务： 7*12 9:00-21:00 包括服务内容：证书安装服务、证书检测服务、漏洞检测服务、ATS检测服务、兼容测试服务、CIM智能管理系统服务、加密套件检测服务、SSL协议检测服务、客户端兼容优化服务、SSL优化服务、签章制作服务、全天技术支持服务、HTTP重定向HTTPS跳转服务。

计费示例 假设您在2023/05/25 14:25:30购买了一张SSL域名证书 （域名类型：单域名，域名数量：默认1个，证书类型：OV，证书品牌：GeoTrust，有效期：一年，购买量：1个），证书在2023/05/28 15:30:30成功签发。证书签发后您在安装过程中遇到了问题又购买了一次一对一SSL证书安装指导服务（初级服务），则： 该证书一次性预付费总价=页面显示该规格证书单价*1 证书到期时间为2024/05/28 15:30:30 安装指导服务总价=服务单价*1 表2 计费公式 资源类型 计费公式 SSL证书 目标规格证书单价*购买量 SSL证书安装指导服务 服务单价*购买次数

问题原因 一般这种情况的审核失败，可能是由于您的域名中包含某些敏感词。 目前已知的可能无法通过DV数字证书审核的域名敏感词包括： live（不包含 .live顶级域名） bank banc ban.c alpha example credit pw（包含 .pw顶级域名） apple ebay trust root amazon android visa google discover financial wordpress pal hp lv free SCP edu .edu.cn iran gov onion

SSL证书购买后一直未使用，是否还可以使用？ 证书有效期从签发日开始计算。证书签发时间是指申请证书、并通过了CA中心的审核验证后，证书最终签发的时间。 多域名类型的证书，如果是新增附加域名，证书有效期是从第一次签发日开始计算。 请根据您的情况进行查看证书是否可用： 如果您购买了证书，但未申请证书，证书未签发： 可以使用。 证书有效期是从签发日开始计算的，因此，您可以在申请证书后进行使用。申请证书详细操作请参见提交 SSL证书申请 。 如果您购买了证书，证书已签发，但仍在有效期内： 证书在有效期内可以继续使用。 如果您购买了证书，证书已签发，且证书已过期： 无法继续使用。 父主题： 证书咨询

如何停止私有CA或私有证书的计费？ 私有CA和私有证书支持按需计费。其中，根CA创建后即开始计费；子CA创建后不收费，激活后才开始计费。 如需停止计费，删除申请的私有CA和私有证书即可。 具体操作请参见删除私有CA，吊销私有证书。 私有CA禁用期间也将保持收费。 用户执行删除私有CA操作后，私有CA不会立即删除。计划删除最快7天生效（根据您设置的推迟时间为准）。在此期间收费情况说明如下： 如果用户未取消计划删除，私有CA被删除了，则在计划删除期间的私有CA不会收费； 如果用户在计划删除期间，取消了计划删除，私有CA未被删除，则在计划删除期间的私有CA将保持收费。 例如：您在2022年01月01日00:00执行了删除私有CA的操作，且设置的私有CA计划删除推迟时间为7天，7天后私有CA被删除，那么，PCA服务将不收取这7天的费用；如果您在2022年01月04日00:00取消了计划删除，私有CA未被删除，那么，PCA服务将补齐2022年01月01日00:00至2022年01月04日00:00期间的费用。

如何选择域名类型 购买SSL证书时，需要根据您的域名类型，选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表2 域名类型 参数名称 参数说明 单域名 单域名类型证书 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 多域名类型证书 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 须知： GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 如果您有 多个域名 ，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名（通配符域名） 泛域名类型证书，也叫通配符证书 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的泛域名证书，则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3。 如果您的域名未跨级别，则选择泛域名类型。 如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表3所示。 表3 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表4所示： 表4 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1”

如何选择证书品牌 目前云证书管理支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表1 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和 SSL数字证书 提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、谷歌、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 O CS P。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否 惠赠活动： 单域名：以域名www.a.com和根域名a.com为例进行说明 图1 品牌惠赠活动 泛域名：以域名*.a.com和*.a.b.com为例进行说明 图2 品牌惠赠活动

如何选择证书类型 购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上类型的证书。 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版数字证书。

私有CA所有者和接受者权限说明 所有者可以对私有CA执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 私有CA接受者支持的操作列表所示。 表1 私有CA接受者支持的操作列表 角色 支持的操作 操作说明 接受者 pca:ca:export 通过控制台或API进行访问 pca:ca:get 通过控制台或API进行访问 pca:ca:listTags 通过控制台或API进行访问 pca:ca:issueCert 通过控制台或API进行访问 pca:ca:issueCertByCsr 通过控制台或API进行访问 pca:ca:revokeCert 通过控制台或API进行访问

修订记录 发布日期 修改说明 2024-01-16 第十二次正式发布。 新增设置标签章节，增加了对私有证书、私有CA设置标签的描述。 2023-1-11 第十一次正式发布。 刷新创建私有CA、申请私有证书章节，支持SM2算法。 刷新下载私有证书章节，增加国密证书文件下载说明。 新增配置证书吊销列表章节。 2022-11-16 第十次正式发布。 新增PCA自定义策略。 优化 创建私有CA 申请私有证书 2022-10-31 第九次正式发布。 优化文档架构。用户指南拆分为SSL证书管理和私有证书管理两本手册。 优化PCA权限管理、PCA关键操作审计管理章节内容。 2021-11-01 第八次正式发布。 根据界面控制台显示修改刷新资料。 调整文档架构。 2021-08-16 第七次正式发布。 私有证书管理服务商用版本发布，刷新相关章节内容。 2020-08-31 第六次正式发布。 优化创建私有CA，增加根CA最长有效期的说明。 优化激活私有CA，增加子CA最长有效期的说明。 2020-06-19 第五次正式发布。 优化管理私有CA、管理私有证书章节，根据控制台显示参数调整而刷新资料相关描述。 2020-04-29 第四次正式发布。 优化管理私有证书章节，支持配置申请证书的密钥长度、证书用途等参数信息。 2020-03-31 第三次正式发布。 新增章节下载私有证书。 删除“导出私有证书”、“导出私钥”章节。 2020-02-28 第二次正式发布。 申请私有证书章节中，新增支持选择证书请求文件的内容和描述。 私有证书管理服务的服务级别改为全局级别，刷新用户指南相关内容。 根据界面风格改动，刷新资料截图。 2020-01-17 第一次正式发布。

私有证书申请概述 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。 私有CA颁发的证书仅在您的组织内受信任，在Internet上不受信任。如需使用在Internet上受信任的证书，请购买SSL证书，具体操作请参见购买SSL证书。 私有证书申请流程如图 私有证书申请流程所示，流程相关说明如表 私有证书申请流程说明所示。 图1 私有证书申请流程 表1 私有证书申请流程说明 步骤 申请操作 说明 1 创建私有CA 根据需要创建私有CA。 首次创建私有CA时，须先创建根CA。后续可以在已有根CA下创建多个子CA。 2 激活私有CA 私有根CA创建后，即可用于签发私有证书。 私有子CA创建后需要激活，激活后才能使私有CA正式生效，并且用于签发私有证书。 3 申请私有证书 通过已激活的私有CA，申请私有证书。 4 下载私有证书 申请完成后，即可下载私有证书并在服务器上安装使用。

SSL证书所有者和接受者权限说明 所有者可以对SSL证书执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 SSL证书接受者支持的操作列表所示。 表1 SSL证书接受者支持的操作列表 角色 支持的操作 操作说明 接受者 scm:cert:get 通过控制台或API进行访问 scm:cert:getApplicationInfo 通过控制台或API进行访问 scm:cert:getDomainValidation 通过控制台或API进行访问 scm:cert:listDeployedResources 通过控制台或API进行访问 scm:cert:listCertificatesByTag 通过控制台或API进行访问 scm:cert:listTagsByCertificate 通过控制台或API进行访问 scm:cert:listAllTags 通过控制台或API进行访问 scm:cert:push 通过控制台或API进行访问 scm:cert:listPushHistory 通过控制台或API进行访问 scm:cert:enableAutoDeploy 通过控制台或API进行访问 scm:cert:listAutoDeployedResources 通过控制台或API进行访问 scm:cert:deployResources 通过控制台或API进行访问 scm:cert:listDeployResourcesHistory 通过控制台或API进行访问 scm:cert:getDeployQuota 通过控制台或API进行访问