华为云用户手册

操作场景 如果您需要查看当前账号下的资源，可以通过“资源清单”页面查看。 资源数据同步到Config存在延迟，因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户，Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源记录器所收集的资源数据，如果相关资源无法在资源清单页面查询到，请确认资源记录器是否开启，或该资源类型是否被资源记录器收集资源数据，或Config暂不支持该服务或资源类型。如何配置资源记录器请参见配置资源记录器。 如您未开启资源记录器且需查看您拥有的资源信息，请前往我的资源页面查看。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 “资源清单”页面默认展示在资源记录器配置的监控范围内且您拥有的全部资源信息。 图1 资源清单默认页面 您可以通过关闭“仅显示有资源的服务和区域”开关，并单击“更多服务”以查看配置审计支持服务的完整列表。 图2 查看配置审计支持的所有服务 单击页面左上方的“已支持的服务和区域”按钮，界面将显示当前已支持的全部服务、资源类型和区域等信息。

SSL证书管理服务中，单 域名 、多域名、泛域名的区别是什么？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表1 域名类型 参数名称 参数说明 单域名 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择SSL证书？，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 如果您有多个域名，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的通配符域名数字证书，则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表2。 如果您的域名在同一个级别，且未跨级别，均在一个级别，则选择泛域名类型。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表2。 表2 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名， 云证书管理服务 默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表3所示： 表3 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1” 父主题： 域名填写类

约束条件 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，CCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

步骤三：DNS验证 DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权，即您需要到该域名的管理平台为该域名添加一条DNS记录。例如：如果您购买的是A公司的域名，您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则无需进行任何操作，系统将自动添加DNS记录验证。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后，需要按照证书列表页面的提示完成DNS验证，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。 DNS验证通过后，您需要耐心等待CA机构审核。

步骤四：签发证书 DNS验证通过之后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。 证书签发后便立即生效，即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为： 提交申请后0-1h：15分钟轮询一次，如果配置没有问题，一般情况，10-20分钟签发证书。 提交申请后1-4h：30分钟轮询一次。 提交申请后4h-24h：1小时轮询一次。 提交申请后1-7天：4小时轮询一次。 提交申请后7天以上认定为订单超时，自动取消。此时，请参照为什么“证书状态”长时间停留在审核中？排查并解决问题。

如何选择证书品牌 目前 云证书管理 支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表1 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和 SSL数字证书 提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、Google、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 O CS P。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否 惠赠活动： 单域名：以域名www.a.com和根域名a.com为例进行说明 图1 单域名品牌惠赠活动 泛域名：以域名*.a.com和*.a.b.com为例进行说明 图2 泛域名品牌惠赠活动

如何选择域名类型 购买SSL证书时，需要根据您的域名类型，选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表2 域名类型 参数名称 参数说明 单域名 单域名类型证书。 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 多域名类型证书 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 如果您有多个域名，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名（通配符域名） 泛域名类型证书，也叫通配符证书 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的泛域名证书，则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3。 如果您的域名未跨级别，则选择泛域名类型。 如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表3所示。 表3 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表4所示： 表4 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1”

如何选择证书类型 购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上类型的证书。 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版数字证书。

泛域名证书匹配域名的规则是什么，或者是否支持跨级匹配？ SSL证书管理服务中，支持购买“泛域名”类型的证书。 泛域名是指带1个通配符“*”且以“*.”开头的域名。 例如：“*.a.com”是正确的泛域名，但“*.*.a.com”则是不正确的。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名

SCM中，泛域名类型证书，支持绑定哪些域名？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 其中，泛域名类型的证书，仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的通配符域名数字证书，则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表2。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表2所示。 表2 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。例如： *.huaweicloud.com的泛域名数字证书包含了huaweicloud.com，还可匹配同级别的域名。无需再购买证书绑定huaweicloud.com。 *.p1.huaweicloud.com的泛域名数字证书不包含p1.huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。

SCM中，多域名类型证书，支持绑定哪些域名？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 其中，多域名类型的证书，可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 域名数量范围为“2~250”，支持最多绑定250个域名。

申请证书时，SSL证书绑定的域名是否需要备案通过后才能绑定？ 证书申请时，为SSL证书绑定的域名可以没有通过备案，但是在后续域名访问中，没有备案的域名会被拦截，导致域名无法访问，所以建议您搭建好网站后立即完成域名备案。 无论是个人备案的域名（网站是个人网站，不含有企业、单位等非个人网站的信息），还是企业备案的域名（网站是企业或者公司网站），都支持绑定SSL证书。 关于网站备案更详细的了解，请参见备案网站。

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤一：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

操作前确认 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型确认验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤，具体操作请参见步骤一：获取验证信息、步骤二：在华为云云解析服务上进行DNS验证、步骤三：查看域名验证是否生效、步骤四：DNS验证结果审核。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

步骤三：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图3所示，说明域名授权验证配置已经生效。 图3 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图4 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图5 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图6 生效时间

SSL证书使用概述 华为云SSL证书管理服务提供多个品牌和类型的证书，详情请参见各类型SSL证书之间的区别。本文档介绍如何购买和使用华为云SSL证书。 您的网站使用SSL证书后，将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 相关流程如图 证书使用流程所示，具体说明如表 证书使用流程说明所示。 图1 证书使用流程 表1 证书使用流程说明 步骤 操作 说明 1 购买SSL证书 在SSL证书管理平台，根据您的域名类型选购对应的证书。 各类型证书之间的区别以及选择请参见各类型SSL证书之间的区别、如何选择SSL证书？。 2 提交 SSL证书申请 成功购买证书后，您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。 3 域名验证 按照CA中心的规范，证书提交申请后您需要配合完成域名授权验证来证明您对所申请绑定域名的所有权。 SCM提供有以下几种验证方式： 自动DNS验证：符合条件的证书可选，详情请参见方式一：自动DNS验证（DV证书）。 手动DNS验证：所有类型证书均可选，详情请参见方式二：手动DNS验证。 邮箱验证：仅OV、EV型证书可选，详情请参见方式四：邮箱验证。 文件验证：仅IP证书、DV证书支持，详情请参见方式三：文件验证（IP证书&DV证书）。 4 组织验证（OV、EV） 仅当申请OV、OV Pro、EV和EV Pro类型证书时，需要该操作。 域名验证完成后，CA机构需要确认企业/组织是否发起了此次的证书订单申请。 5 签发SSL证书 验证完成后，CA机构还需要一段时间进行处理，请您耐心等待。具体申请时间请参见各证书的申请时长。 CA机构审核通过后，将签发证书。证书自签发之时开始生效，有效期为1年。 6 安装SSL证书 证书签发后，您可以一键部署证书到华为云其他云产品或下载证书并安装到服务器上进行使用。 将证书部署到其他云产品后，将帮助您提升对应云产品访问数据的安全性。 SSL证书安装到Web服务器后，您的Web服务器才能实现HTTPS加密通信，实现通信安全。 7 续费SSL证书 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长为一年，证书到期后将不再被浏览器信任，建议您提前开通自动续费或在证书即将到期前三十天进行手动续费，避免因证书过期对您的业务产生影响。 SSL证书续费操作相当于重新申请了一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。证书续费后，您需要将续费签发的新证书重新安装到您的Web服务器或部署到华为云其他云产品，替换即将过期的旧证书。 8 吊销SSL证书 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在SSL证书管理控制台申请吊销证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。

后续处理 补充申请资料 CFCA品牌的证书提交证书申请后，CFCA机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章的CFCA证书申请表（确保控制台申请信息与申请表申请信息一致）、营业执照复印件和经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 vTrus品牌的国际标准（RSA）证书提交证书申请后，vTrus机构将在1-2个工作日内给您提交申请时填写的邮箱发送一封邮件要求您提供盖公司公章或部门章的授权函、经办人身份证复印件进行组织身份验证。请您按照要求提供相关资料。 提交审核后，CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。 您需要按照要求进行域名验证。具体操作请参见域名验证。 如果已提交了证书申请，发现信息填写错误，可撤销申请，修改信息后重新提交证书申请，撤回申请具体操作请参见撤回证书申请。

前提条件 已开通CDN（Content Delivery Network，内容分发网络），且已在CDN中配置了与SSL证书匹配的网站域名。 如果没有购买CDN，或数字证书所绑定的域名没有在CDN中开通服务，请不要将数字证书部署到CDN中，如果部署将可能导致部署失败。 已在云证书管理服务中申请SSL证书且状态为“已签发”，或者已将在其他平台签发的SSL证书上传至云证书管理服务中且状态为“托管中”。 证书为国际标准证书。

下载的证书文件说明 下载文件说明：根据申请证书时，选择的“证书请求文件”方式的不同，下载文件也有所不同。 申请证书时，如果“证书请求文件”选择的是“系统生成CSR”，则下载文件说明如下： 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图2所示，具体文件说明如表1所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Tomcat keystorePass.txt：证书密码。 server.jks：证书文件。 Nginx server.crt：证书文件，包含两段证书代码，分别为服务器证书和CA中间证书。 server.key：证书私钥文件，包含一段证书私钥代码。 Apache ca.crt：证书链文件，包含一段中级CA代码。 server.crt：证书文件，包含一段服务器证书代码。 server.key：证书私钥文件，包含一段证书私钥代码。 IIS keystorePass.txt：证书密码。 server.pfx：证书文件。 domain.csr 证书请求文件。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，则下载文件说明如下： 下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA中间证书。 私钥为用户自行保存的，华为云SSL证书管理不提供。在各个服务器上安装证书时，需要填写对应私钥的位置。 “自己生成CSR”的证书不支持一键部署到云产品。

约束条件 仅支持在证书有效期内，不限次数的下载证书，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。 “证书请求文件”选择的是“系统生成CSR”，下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”，下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA中间证书。私钥为用户自行保存的，华为云SSL证书管理不提供。

约束条件 免费证书、多域名类型证书、已吊销证书不支持重新签发。 证书签发后，各证书品牌针对“单域名”和“泛域名”证书重新签发的时间有以下限制： GlobalSign品牌：5天。 DigiCert品牌和GeoTrust品牌：25天。 CFCA品牌、TrustAsia品牌和vTrus品牌：25天。 在规定时间内，“单域名”和“泛域名”证书可重新签发的次数不限，超过各证书品牌的规定的时间，将不能执行重新签发的操作。

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？进行处理。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 配置/usr/local/nginx/conf目录下的“nginx.conf”文件。 找到如下配置内容，并取消注释。 #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} 修改如下参数，具体参数修改说明如表参数说明所示。 ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; ssl_certificate cert/enc_server.crt; ssl_certificate_key cert/enc_server.key; 完整的配置如下，其余参数根据实际情况修改： 不要直接复制所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。 server { .com; #修改为您证书绑定的域名。 cert/server.crt; #替换成您的签名证书文件的路径。 cert/server.key; #替换成您的签名证书私钥文件的路径。 cert/encrypt.crt; #替换成您的加密证书文件的路径。 cert/encrypt.key; #替换成您的加密证书私钥文件的路径。 listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name test ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; ssl_certificate cert/enc_server.crt; ssl_certificate_key cert/enc_server.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3; ssl_prefer_server_ciphers on; location / { root html; #站点目录。 index index.html index.htm; #添加属性。 } } 表1 参数说明 参数 参数说明 listen SSL访问端口号，设置为“443”。 配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。 server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 签名证书的证书文件“server.crt”：设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/server.crt”。 加密证书的证书文件“enc_server.crt”：设置为“enc_server.crt”文件的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/enc_server.crt”。 ssl_certificate_key 签名证书的私钥文件“server.key”：设置为“server.key”文件的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/server.key”。 加密证书的私钥文件“enc_server.key”：设置为“enc_server.key”文件的路径，且路径中不能包含中文字符，例如“/usr/local/nginx/conf/cert/enc_server.key”。 修改完成后保存配置文件。

步骤二：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx” 2个文件夹和1个“domain.csr”文件，如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”、私钥文件“证书ID_证书绑定的域名_server.key”、“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_server.crt”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”，即“server.crt”。 将“证书ID_证书绑定的域名_encrypt.pem”的后缀名修改为“crt”，即“encrypt.crt”。 将“server.crt”，“encrypt.crt”，“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/nginx/conf目录下创建“cert”目录，并且将“server.key”、“server.crt”、“encrypt.key”和“encrypt.crt”复制到“cert”目录下。

步骤一：环境配置 准备gmssl_openssl。 访问GMSSL页面，在左侧导航树中选择“国密Web服务器”，单击“国密Web服务器下载”页签，下载openssl国密版，拷贝到/root/目录并解压。 tar xzfm gmssl_openssl_b2025.xxxx_x64.tar.gz -C /usr/local 以上命令中gmssl_openssl_b2025.xxxx_x64.tar.gz请替换为实际下载的包名。 则/usr/local/gmssl为国密版openssl目录。 准备Nginx。 下载Nginx-1.18.0。 解压下载的Nginx。 tar zxfm nginx-1.18.0.tar.gz 进入Nginx的目录nginx-1.18.0/。 修改配置文件。 vi auto/lib/openssl/conf 将全部$OPENSSL/.openssl/修改为$OPENSSL/后，保存修改。 执行如下命令配置参数。 如果报错“C compiler cc is not found”，则需要安装pcre-devel包，安装命令：yum -y install gcc pcre-devel openssl openssl-devel。 ./configure \ --without-http_gzip_module \ --with-http_ssl_module \ --with-http_stub_status_module \ --with-http_v2_module \ --with-file-aio \ --with-openssl="/usr/local/gmssl" \ --with-cc-opt="-I/usr/local/gmssl/include" \ --with-ld-opt="-lm" 编译安装。 make install 则/usr/local/nginx为生成的国密版Nginx目录。

约束条件 您需要在ELB中创建监听器并完成其HTTPS配置，即您需要先在ELB服务中完成首次证书的配置，才能通过CCM服务更新SSL证书。 ELB中使用的证书如果指定了多个域名，更新证书前需要注意CCM证书的域名与其是否完全匹配。如果不完全匹配，则在CCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前CCM中证书的域名。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，由于云上没有该证书的私钥，签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书及私钥并进行部署。 国密证书暂不支持一键部署到华为云其他云产品。

前提条件 购买证书的账号拥有“SCM Administrator”/“SCM FullAccess”、“BSS Administrator”和“DNS Administrator”权限。 BSS Administrator：费用中心、资源中心、账号中心的所有执行权限。项目级角色，在同项目中勾选。 DNS Administrator：云解析服务（DNS）的所有执行权限。 具体授权操作请参见权限管理。

约束条件 如果没有购买WAF，或数字证书所绑定的域名没有在WAF中开通服务，请不要将数字证书部署到WAF中，如部署将可能导致部署失败。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，由于云上没有该证书的私钥，签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书及私钥并进行部署。 国密证书暂不支持一键部署到华为云其他云产品。

手动续费限制说明 续费证书不支持修改公司名称。 手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的，已签发且即将到期的付费SSL证书进行续费，上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。 续费证书与原证书为独立的两张证书，因此续费证书签发后您需要安装到Web服务器或部署到 华为云产品 。 续费签发的新证书有效期为续费有效期（如1年）加上原证书剩余有效期。例如，您已签发的1年有效期证书将于2022年11月30日过期，如果您在2022年11月25日完成续费购买和签发，则续费签发证书的有效期将在2023年11月25日的基础上再加上5天，即2023年11月30日。 Digicert DV(basic) 泛域名证书的续费入口仅在到期前15个自然日内开放。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期，新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）不完全相同，则新签发证书的有效期为一年（可能与原证书过期前未使用的有效期存在重合），无法自动补齐原证书剩余的有效期。