下载私有证书_云证书管理服务 CCM_用户指南_私有证书管理_管理私有证书_华为云

(1)

云证书管理服务

用户指南

文档版本 14

发布日期 2021-11-26

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 SSL 证书申购流程

华为云SSL证书提供多个品牌和类型的证书，详情请参见各证书之间的区别。本文档介绍如何购买和选择华为云SSL证书。

在购买、申请证书前，请您了解证书申请的流程，以便更快地获取SSL证书。相关流程如图1-1所示，具体说明如表1-1所示。

图1-1 SSL 证书申请流程

表1-1 证书申请流程说明

步骤申请操作说明

1 购买SSL证书在SSL证书管理平台，根据您的域名类型选购对应的证

书。

2 申请SSL证书成功购买证书后，您需要为证书绑定域名、填写证书

申请人的详细信息并提交审核。

3 域名验证按照CA中心的规范，证书提交申请后您需要配合完成域名授权验证来证明您对所申请绑定域名的所有权。

SCM提供有以下几种验证方式：

● 自动DNS验证：符合条件的证书可选。

● 手动DNS验证：所有类型证书均可选。

● 文件验证：仅OV、EV型证书可选。

● 邮箱验证：仅OV、EV型证书可选。

4 （可选）组织验

证

仅当申请OV、OV Pro、EV和EV Pro类型证书时，需要该操作。

域名验证完成后，CA机构需要确认企业/组织是否发起了此次的证书订单申请。

用户指南 1 SSL 证书申购流程

(6)

步骤申请操作说明

5 签发证书组织验证完成后，CA机构还需要一段时间进行处理，

请您耐心等待。具体申请时间请参见各证书的申请时长。

CA机构审核通过后，将签发证书。证书签发后便立即生效，即可推送证书到华为云其他云产品或下载证书并部署到服务器上进行使用。

用户指南 1 SSL 证书申购流程

(7)

2 步骤一：购买 SSL 证书

该任务指导用户如何购买SSL证书，包括选择证书的类型、品牌、购买量等。

前提条件

购买证书的帐号拥有“SCM Administrator”、“BSS Administrator”和“DNS Administrator”权限。

约束条件

● 暂不支持在控制台购买CFCA国密证书。如果需要，请通过工单进行申请。

● 特殊企业不支持申请OV、EV类型的证书。例如：军队、政府的一些特殊机构、国家保密单位等。

原因：全国组织机构统一社会信用代码公示查询平台无法在查询到特殊企业的相关信息，因而无法完成组织身份验证，所以特殊企业无法使用OV、EV类型的SSL 证书。

操作步骤

步骤1 登录管理控制台。

步骤2 单击页面左上方的，选择“安全与合规 > 云证书管理服务”，进入云证书管理界面。

步骤3 在左侧导航栏选择“SSL证书管理”，并在SSL证书在界面右上角，单击“购买证书”，进入购买证书页面。

步骤4 在购买证书页面，选择“证书类型”、“证书品牌”、“域名类型”、“域名数量”、“有效期”，如图2-1所示。

用户指南 2 步骤一：购买 SSL 证书

(8)

图2-1 服务选型

1. 选择“证书类型”：

提供的证书类型以及区别如表2-1所示，请根据您的需要进行选择。

表2-1 证书类型

证书类型典型应用场景认证强度审核周期

EV、EV Pro 适用于大型政企/电商/教育/金融/银行/医疗等行业的平台网站、APP应用、小程序等

严格验证组织及企业真实性和域名所有权

7～10个工作日

OV、OV Pro 适用于中小企业的网站、APP应用、小程序等

验证组织及企业真实

性和域名所有权 3～5个工作日

DV、DV

（Basic）适用于个人网站、企业测试

简易验证域名所有权数小时内快速颁发

更多关于证书类型的区别，请参见各证书之间的区别。

2. 选择“证书品牌”：

当前支持的品牌包括“GeoTrust”、“DigiCert”、“GlobalSign”。关于证书类型的区别，请参见各证书之间的区别。

3. 选择“域名类型”：

域名的类型，支持“单域名”、“多域名”和“泛域名”。具体参数说明如表2-2 所示。

表2-2 域名类型

参数名称参数说明

单域名即单个SSL证书只支持绑定1个单域名。例如，example.com

(9)

参数名称参数说明

多域名即单个SSL证书可以同时绑定多个域名。

最多可以支持250个域名。

泛域名即单个SSL证书支持绑定一个且只有一个泛域名。

*.*.example.com多个通配符的泛域名不支持。

泛域名只允许添加一个通配符域名，例如*.example.com

（包含a.example.com、b.example.com、...，但是不包含 a.a.example.com）。

更多关于如何选择域名类型，详情请参见如何选择域名类型？

4. 设置“域名数量”：

– “域名类型”选择“单域名”和“泛域名”时，域名数量限制为1个。

– “域名类型”选择“多域名”时，域名数量范围为“2~250”。域名数量须满足以下条件：

▪

^{主域名数量固定为1个}

▪

附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量 +附加泛域名数量≥1）

图2-2 域名类型

5. 选择“有效期”：默认为1年。

证书有效期从证书最终签发的时间开始计算，到期后，需要重新购买并完成证书申请流程。

6. （可选）在“企业项目”下拉列表中选择您所在的企业项目。

企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。

如需使用该功能，请开通企业管理功能。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

说明

“default”为默认企业项目，帐号下原有资源和未选择企业项目的资源均在默认企业项目内。

7. 设置“购买量”：设置购买的证书个数。

步骤5 确认参数配置无误后，在页面右下角，单击“立即购买”。

如果您对价格有疑问，可以单击页面左下角的“了解计费详情”，了解产品价格。

步骤6 确认订单无误后，阅读并勾选“我已阅读并同意《SSL证书管理（SCM）免责声明》”，单击“去支付”。

步骤7 在购买页面，请选择付款方式进行付款。

(10)

成功付款后，在SSL证书管理界面，可以查看证书列表中购买的证书。

----结束

后续处理

成功购买SSL证书后，请参考申请证书为证书绑定域名，并填写证书申请人的详细信息。

(11)

3 步骤二：申请 SSL 证书

成功购买证书后，您需要申请证书，即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。

本章节将介绍申请证书的详细操作。

前提条件

证书的状态为“待申请”。

约束限制

● 绑定域名时，如果需要绑定中文域名，请先使用Punycode编码工具将中文域名编码，再使用编码后信息来申请证书。

● 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见证书品牌。

操作步骤

步骤3 在左侧导航栏选择“SSL证书管理”，并SSL证书页面中待申请证书所在行的“操作”

列，单击“申请证书”，系统从右面弹出申请证书详细页面。

步骤4 在弹出申请证书详细页面中，填写域名信息。

1. 证书请求文件

证书请求文件（Certificate Signing Request，CSR）即证书签名申请，包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核。

选择证书请求文件生成方式：

– 系统生成CSR（推荐）：系统将自动帮您生成证书私钥，并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。

– 自己生成CSR：手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。详细操作请参见如何制作CSR文件？。

两种证书请求文件的区别请参见系统生成的CSR和自己生成CSR的区别？。

用户指南 3 步骤二：申请 SSL 证书

(12)

2. 绑定域名

– 当“证书请求文件”选择“自己生成CSR”时，域名将根据CSR文件自动解析出来，不需要手动输入域名。

– 当“证书请求文件”选择“系统生成CSR”时，需要手动输入证书需要绑定的域名。

表3-1 绑定域名

域名类型填写说明

单域名填写需要绑定的1个域名。

例如，需要绑定域名为example.com，则填写如下图所示：

多域名需要绑定主域名和附加域名。

例如，需要绑定域名为example.com、a.example.com 和b.example.com，则填写如下图所示：

说明

▪

附加域名须大于等于1个。附加域名可分批次进行录入，具体操作请参见新增附加域名。

▪

多个附加域名请换行输入。

▪

如果购买的是组合证书（单域名+泛域名），主域名仅支持绑定单域名。

▪

主域名和附加域名的关系（主从关系）对添加的域名没有影响。

泛域名填写需要绑定的1个泛域名。

例如，需要绑定域名为*.example.com，则填写如下图所示：

如果需要绑定中文域名，请先使用Punycode编码工具将中文域名编码，再填写编码后信息。

示例：华为云.com Punycode 编码后：xn--siq1ht8k.com，则在“绑定域名”中填写xn--siq1ht8k.com

3. 域名验证方式

(13)

按照CA中心的规范，如果您申请了数字证书，您必须配合完成域名授权验证来证明您对所申请绑定的域名的所有权。当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，证书审核才可以进入下一个状态。

说明

DV型SSL证书默认通过“DNS验证”方式进行验证，无需进行配置。

表3-2 域名验证方式

验证方式说明使用条件及限制

DNS验证（自动

DNS验证） 指您授权SCM服务修改域名的DNS解析记录，自动在解析记录中添加一条用于验证的TXT类型记录，无需您手动修改域名解析记录。

– 购买的是单域名类型的证书

– 待绑定的域名是在华为云上申请的，且已使用云解析服务（Domain Name Service）

DNS验证（手动

DNS验证） 指您需要在域名的DNS解析服务商手动修改域名的DNS 解析记录，在解析记录中添加一条用于验证的TXT类型记录。

您有权限修改域名的DNS解析设置（即拥有域名管理权限）。

文件验证指由您手动从SCM控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。

– 您有权限向网站所在服务器的根目录写入内容（即拥有服务器管理权限）。

– 服务器开放了80、443端口，支持监听HTTP、

HTTPS访问。

注意目前CA机构仅支持向80、

443端口发起认证请求。如果您的服务器未开放80、

443端口，则请勿使用文件验证方式。

邮箱验证即您登录域名管理员邮箱，

接收域名确认邮件并回复 CA机构发送的域名确认邮件。

您有权限登录域名管理员邮箱（即拥有域名管理权限）。

步骤5 单击“下一步”，进入“组织信息/授权信息”页面，并在页面中填写相关信息。

(14)

图3-1 授权信息

1. （可选）OV、EV类型的证书需要填写企业组织信息，请根据界面提示进行填写。

说明

– 公司名称请填写营业执照注册公司的全称。

– 银行开户许可和企业营业执照是可选项。

▪

如需上传企业营业执照，中国大陆请上传企业营业执照，其他地区请上传当地的商业登记证。

▪

上传的文件大小限制为2MB以下，格式须为png或jpg，且仅支持上传一个文件。

▪

不上传会延长证书的签发周期，具体延长时间取决于CA机构验证时间。为了避免延长证书的签发周期，建议您上传文件。

2. 填写公司联系人/授权人信息。

说明

– 请确保此处填写的联系人电话和邮箱填写准确，CA机构人员会在审核过程中通过邮箱和电话联系您。

– 系统会在证书到期前两个月、一个月、一周和到期时，向此处填写的公司联系人/授权人的邮箱和电话分别发送邮件和短信提醒。

– 公司联系人/授权人信息，涉及用户个人信息的内容，证书签发后不会包含在证书中。

步骤6 确认填写的信息无误后，阅读《SSL证书管理（SCM）免责声明》、《隐私政策声明》

和信息授权声明，并勾选声明内容前面的框。

步骤7 单击“提交申请”。

系统将把您的申请提交到CA认证机构，请您保持电话畅通，并及时查阅邮箱中来自CA 认证机构的电子邮件。

----结束

后续处理

● 提交审核后，CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。

(15)

您需要按照要求进行域名验证。具体操作请参见域名验证。

● 如果已提交了证书申请，发现信息填写错误，可撤销申请，并重新申请证书，撤回申请具体操作请参见撤回证书申请。

(16)

4 ^{步骤三：域名验证}

4.1 概览

证书提交申请后，您需要进行域名授权验证。按照CA中心的规范，如果您申请了SSL 证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。

当您按照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，证书审核才可以进入下一个状态。

如果不完成域名验证，您的证书将无法通过审核，且您的证书申请将会一直显示“待完成域名验证”的状态。

华为云SSL证书管理提供以下几种方式，根据您申请证书时，选择的验证方式进行操作：

表4-1 域名验证方式

验证方式说明

自动DNS验证指您授权SCM服务修改域名的DNS解析记录，自动在

解析记录中添加一条用于验证的TXT类型记录，无需您手动修改域名解析记录。

手动DNS验证指您需要在域名的DNS解析服务商手动修改域名的

DNS解析记录，在解析记录中添加一条用于验证的TXT 类型记录。

文件验证指由您手动从SCM控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。

邮箱验证即您登录域名管理员邮箱，接收域名确认邮件并回复 CA机构发送的域名确认邮件。

4.2 方式一：自动 DNS 验证

按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。

用户指南 4 步骤三：域名验证

(17)

自动DNS验证是指授权SCM服务修改域名的DNS解析记录，自动在解析记录中添加一条用于验证的TXT类型记录，无需您手动修改域名解析记录。CA机构验证TXT记录能被解析，则表示验证通过。

本章节将介绍如何进行自动DNS验证。

约束与限制

以下条件必须全部满足系统才会进行自动DNS验证：

● 购买的是单域名类型的证书

● 绑定域名是在华为云上申请的域名，且已使用华为云云解析服务

● 申请证书时选择的域名验证方式为“自动DNS验证”（DV型证书无需此项）

操作步骤

如果您在申请证书时域名验证方式选择了自动DNS验证，则无需您进行任何操作。

请您耐心等待系统进行自动DNS验证。DNS验证完成后，CA机构需要2-3个工作日对 DNS验证信息进行审核，审核通过后，证书将进入下一个状态。

4.3 方式二：手动 DNS 验证

手动DNS验证，是指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录，

在解析记录中添加一条用于验证的TXT类型记录。CA机构验证TXT记录能被解析，则表示验证通过。

如果您在申请证书时域名验证方式选择了手动DNS验证，请参照本章节进行处理。

约束与限制

手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。

前提条件

绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。

（可选）步骤一：域名托管至华为云云解析服务

DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。因此，如果您的 域名不在华为云平台中管理，在进行DNS验证时，请确认是否愿意把域名从其他服务商迁移到华为云DNS？

● 是：请执行以下操作步骤：

a. 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。

b. 继续执行步骤二：获取验证信息。

(18)

● 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

说明

如果已在华为云平台中管理您的域名，即证书绑定的域名已使用华为云云解析服务，则请跳过该步骤。

步骤二：获取验证信息

步骤3 在左侧导航栏选择“SSL证书管理”，并SSL证书页面中待域名验证的证书所在行的

“操作”列，单击“域名验证”，系统从右面弹出域名验证详细页面。

步骤4 在证书的域名验证页面，查看并记录“主机记录”、“记录类型”和“记录值”，如图4-1所示。

如果界面未显示，则请登录邮箱（申请证书时填写的邮箱）进行查看。

图4-1 查看主机记录

----结束

步骤三：在华为云云解析服务上进行 DNS 验证

步骤2 选择“网络 > 云解析服务”，并在云解析页面左侧导航栏，选择“域名解析 > 公网解析”，进入“公网域名”页面。

步骤3 在“公网域名”页面的域名列表中，单击需要解析的域名，并在解析记录页面右上角单击“添加记录集”，进入“添加记录集”页面。

说明

如果在“解析记录”的域名列表中，已存在带解析域名的TXT记录值，直接在目标域名的“操作”列，单击“修改”，进入“修改记录集”页面。

(19)

图4-2 域名解析

表4-2 域名解析参数说明 参数名称参数说明

主机记录证书的“域名验证”页面，域名服务商返回的“主机记录”。

不同的域名服务商返回的主机记录不同，请保持填写记录一致。

示例：

● 如果域名服务商返回的主机记录为

“_dnsauth.example.com”，则主机记录填写“_dnsauth”。

● 如果域名服务商返回的主机记录为“example.com”，则主机记录为空，不需要填写。

类型选择“TXT – 设置文本记录”。

别名选择“否”。

线路类型选择“全网默认”。

TTL (秒) 一般建议设置为5分钟。TTL值越大，则DNS记录的同步和更新越慢。

值证书的“域名验证”页面，域名服务商返回的“记录值”。

说明

记录值必须用英文引号引用后粘贴在文本框中。

其他的设置保持不变。

步骤4 单击“确定”，记录集添加成功。

当记录集的状态显示为“正常”时，表示记录集添加成功。

说明

该TXT记录在证书签发后才可以删除。

----结束

步骤四：查看域名验证是否生效

步骤1 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。

步骤2 在cmd中输入以下命令，查看DNS验证配置是否已经生效。

(20)

nslookup -q=TXT xxx

xxx代表域名服务商返回的“主机记录”值。

● 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图

4-3所示，说明域名授权验证配置已经生效。

图4-3 域名授权验证配置生效

● 如果界面回显信息不存在TXT记录，显示为“Non-existent domain”，说明域名授权验证配置未生效。

图4-4 域名授权验证配置未生效

步骤3 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。

(21)

表4-3 排查处理

可能原因处理方法

记录配置出错请您检查“主机记录”或“类型”是否填写正确。

如下以华为云的云解析服务中的配置为例进行说明：

图4-5 配置记录

根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

举例：

● 如果域名服务商返回的“主机记录”为

“_dnsauth.www.huawei.com”，则主机记录填写

“_dnsauth”。

“www.huawei.com”，则“主机记录”为空，不需要填写。

须知

请您确认您的域名管理平台提供的主机记录是否支持全域名，如果您的域名管理系统不支持全域名的主机记录，请去掉根域名的后缀部分。

(22)

可能原因处理方法配置的生效时间过

长，生效时间还未到，因此无法查询到数据。

请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。

若配置的生效时间未到，请等时间到了后再进行验证。

图4-6 生效时间

----结束

4.4 方式三：文件验证

文件验证，是指您手动从SCM控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。

如果您在申请证书时域名验证方式选择了文件验证，请参照本章节进行处理。

约束与限制

● 如果绑定的域名带www，则需要验证带www和不带www的两个域名。例如，

www.example.com，则需要验证example.com和www.example.com。

● 如果绑定的域名为泛域名，则只需要验证不带*的域名。例如，*.example.com，

则只需要验证example.com。

步骤一：获取验证信息

(23)

步骤3 在左侧导航栏选择“SSL证书管理”，并SSL证书页面中待域名验证的证书所在行的

“操作”列，单击“域名验证”，系统从右面弹出域名验证详细页面。

步骤4 在域名验证页面中，查看此处的“记录值”。

如果界面未显示，则请按照页面中的提示，登录邮箱（申请证书时填写的邮箱）查看

“记录值”。

图4-7 文件验证

----结束

步骤二：创建指定文件

步骤1 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。

步骤2 在网站根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。

说明

网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：wwwroot、

htdocs、public_html、webroot等。请您根据实际情况进行操作。

如下以网站根目录为“/www/htdocs”为例进行说明：

1. 在网站根目录下，创建“.well-known/pki-validation”子目录。

此处则在“/www/htdocs”目录下进行创建，请您根据实际情况进行操作。

2. 在“.well-known/pki-validation”子目录下，创建一个名称为“whois.txt”的文件。

3. 将步骤4中的记录值放在“whois.txt”文件内。

----结束

步骤三：查看验证配置是否生效

步骤1 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/

whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。

请将URL地址中的yourdomain替换成您申请证书时绑定的域名。

(24)

● 如果您的域名是普通域名，则请参照以下方法进行操作：

例如，如果您的域名为example.com，则访问的URL地址为：https://

example.com/.well-known/pki-validation/whois.txt或http://example.com/.well- known/pki-validation/whois.txt

● 如果您的域名为泛域名，则请参照以下方法进行操作：

例如，如果您的域名为*.domain.com，则访问的URL地址为：https://

domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well- known/pki-validation/whois.txt

步骤2 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。

● 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。

● 如果界面回显信息不一致，则说明域名授权验证未生效。

步骤3 如果配置未生效，请从以下几方面进行排查和处理：

● 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。

● 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。

● 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。

您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

----结束

4.5 方式四：邮箱验证

邮箱验证，是指您登录域名管理员邮箱，接收域名确认邮件并回复CA机构发送的域名确认邮件。CA机构验证邮件由域名管理员邮箱回复认证信息，则表示验证通过。

如果您在申请证书时域名验证方式选择了邮箱验证，请参照本章节进行处理。

操作步骤

步骤1 登录您申请域名的域名管理员邮箱。

步骤2 打开来自CA机构的域名确认邮件。

步骤3 单击邮件中的认证按钮，完成域名验证。

验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。

若您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

----结束

(25)

5 步骤四：（OV、EV）组织验证

申请OV、OV Pro、EV和EV Pro类型证书时，域名验证完成后，CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系，

确认企业/组织是否发起了此次的证书订单申请。

须知

13个月内再次购买同一品牌的证书且信息无更改，将免组织验证即人工审核。

前提条件

证书的状态为“待完成组织验证”。

约束与限制

以下情况需要完成组织验证后，证书才能签发成功：

● 首次购买OV、OV Pro、EV和EV Pro四种类型的证书。

● 距离上次购买证书的时间已超过13个月。

● 距离上次购买证书的时间未超过13个月，但是联系方式、公司信息或者证书品牌跟上次购买时有变化。

操作步骤

步骤1 请登录您在申请证书时填写的联系人邮箱。

步骤2 打开来自CA机构的组织验证邮件。

步骤3 回复CA机构的邮件以选择组织验证方式。

组织验证包括电话、律师函方式等，其中律师函方式需要额外收费500元。请根据您的实际情况进行选择。

如果需要更改组织验证方式，请直接回复CA中心的邮件。

步骤4 请您留意所选择的验证方式，配合CA机构进行处理。

用户指南 5 步骤四：（OV、EV）组织验证

(26)

例如，您选择的组织验证方式为电话验证，则CA机构将通过企业/组织的公开电话与您联系，请您留意并及时进行处理。

----结束

用户指南 5 步骤四：（OV、EV）组织验证

(27)

6 步骤五：签发 SSL 证书

SSL证书审核时间取决于您和CA机构之间的配合。CA机构将通过您预留的邮箱和电话与您进行联系，请留意您在申请证书时预留的邮箱和电话。

● DV型证书在确认完成DNS验证且验证结果无误后，请您耐心等待，CA机构将还需要一段时间进行处理。CA机构审核通过后，将会签发证书。

● OV、EV型证书在确认完成组织验证后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。

不同的SSL证书类型审核周期有所区别，一般情况下，各证书类型的审核周期说明如表

6-1所示。

表6-1 证书审核周期

证书类型审核周期

EV CA机构人工审核信息。

在信息正确的情况下审核周期一般为7～10个工作日。

OV CA机构人工审核信息。

在信息正确的情况下审核周期一般为3～5个工作日。

DV 无人工审核。

CA机构签发系统自动检查域名授权配置，DNS配置正确的情况下（需用户自行排查DNS配置是否正确）可在数小时内快速颁发。

操作步骤

CA机构审核通过后，将会签发证书，证书签发后便立即生效。

证书签发后，可推送证书到华为云其他云产品或下载证书并部署到服务器上进行使用。

推送证书操作请参见推送证书。

下载证书操作请参见下载证书。

用户指南 6 步骤五：签发 SSL 证书

(28)

7 手动 DNS 验证结果排查

手动DNS验证操作完成后，如果您使用的是Windows操作系统，可通过以下方式进行排查：

操作步骤

步骤1 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。

步骤2 在cmd中输入以下命令，查看DNS验证配置是否已经生效。

nslookup -q=TXT xxx

xxx代表域名服务商返回的“主机记录”值。

● 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图

7-1所示，说明域名授权验证配置已经生效。

图7-1 域名授权验证配置生效

● 如果界面回显信息不存在TXT记录，显示为“Non-existent domain”，说明域名授权验证配置未生效。

图7-2 域名授权验证配置未生效

步骤3 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。

用户指南 7 手动 DNS 验证结果排查

(29)

表7-1 排查处理

可能原因处理方法

记录配置出错请您检查“主机记录”或“类型”是否填写正确。

如下以华为云的云解析服务中的配置为例进行说明：

图7-3 配置记录

根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

举例：

“_dnsauth.www.huawei.com”，则主机记录填写

“_dnsauth”。

“www.huawei.com”，则“主机记录”为空，不需要填写。

须知

请您确认您的域名管理平台提供的主机记录是否支持全域名，如果您的域名管理系统不支持全域名的主机记录，请去掉根域名的后缀部分。

(30)

可能原因处理方法配置的生效时间过

长，生效时间还未到，因此无法查询到数据。

请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。

若配置的生效时间未到，请等时间到了后再进行验证。

图7-4 生效时间

----结束

(31)

8 下载与安装 SSL 证书

8.1 下载 SSL 证书

该任务指导用户在SSL证书管理平台下载证书。

前提条件

“证书状态”为“已签发”或“托管中”。

约束条件

● 仅支持在证书有效期内，不限次数的下载证书，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。

● “证书请求文件”选择的是“系统生成CSR”，下载的文件包含了“Apache”、

“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件。

● “证书请求文件”选择的是“自己生成CSR”，下载的证书仅包含一个名为

“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA 中间证书。私钥为用户自行保存的，华为云SSL证书管理不提供。

操作步骤

步骤3 在左侧导航栏选择“SSL证书管理”，进入SSL证书管理页面。

步骤4 在需要下载的证书所在行的“操作”列，单击“下载”，如图8-1所示。

图8-1 下载证书

用户指南 8 下载与安装 SSL 证书

(32)

步骤5 请根据您需要的服务类型，在对应的“操作”列单击“下载证书”，进行证书下载操作。

步骤6 证书下载后，需要安装到对应的服务器上。

● 在Tomcat上安装SSL证书的详细指导操作请参见如何在Tomcat上安装SSL证书？。

● 在Nginx上安装SSL证书的详细指导操作请参见如何在Nginx上安装SSL证书？。

● 在Apache上安装SSL证书的详细指导操作请参见如何在Apache上安装SSL证书？。

● 在IIS上安装SSL证书的详细指导操作请参见如何在IIS上安装SSL证书？。

● 在Weblogic上安装SSL证书的详细指导操作请参见在Weblogic服务器上安装SSL 证书。

----结束

下载的证书文件说明

下载文件说明：根据申请证书时，选择的“证书请求文件”方式的不同，下载文件也有所不同。

● 申请证书时，如果“证书请求文件”选择的是“系统生成CSR”，则下载文件说明如下：

下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1 个“domain.csr”文件，如图8-2所示，具体文件说明如表8-1所示。

图8-2 解压 SSL 证书

表8-1 下载文件说明

文件夹/文件名称文件夹内容

Tomcat keystorePass.txt：证书密码。

server.jks：证书文件。

Nginx server.crt：证书文件，包含两段证书代码，分别为服务器证书和CA中间证书。

server.key：证书私钥文件，包含一段证书私钥代码。

Apache ca.crt：证书链文件，包含一段中级CA代码。

server.crt：证书文件，包含一段服务器证书代码。

server.key：证书私钥文件，包含一段证书私钥代码。

(33)

文件夹/文件名称文件夹内容

IIS keystorePass.txt：证书密码。

server.pfx：证书文件。

domain.csr 证书请求文件。

● 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，则下载文件说明如下：

下载的证书仅包含一个名为“server.pem”的文件。文件中已经包含两段证书代码，分别是服务器证书和CA中间证书。

私钥为用户自行保存的，华为云SSL证书管理不提供。在各个服务器上安装证书时，需要填写对应私钥的位置。

说明

“自己生成CSR”的证书不支持推送到云产品。

8.2 在 Tomcat 服务器上安装 SSL 证书

本章节介绍如何将下载的证书安装到Tomcat服务器上。安装好证书后，您的Web服务器将能支持SSL通信，从而保证您Web服务器的通信安全。

说明

如果证书安装过程中遇到问题，华为云提供SSL证书配置优化服务，可实现云上全品牌SSL证书配置，专业工程师一对一服务。请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

前提条件

● “证书状态”为“已签发”。

● 已下载SSL证书，具体操作请参见下载证书。

● 已安装OpenSSL工具。

您可以从“https://www.openssl.org/source/”下载最新的OpenSSL工具安装包

（要求OpenSSL版本必须是1.0.1g或以上版本）。

● 已安装Keytool工具。

Keytool工具一般包含在Java Development Kit（JDK）工具包中。

约束条件

● 证书安装前，务必在安装SSL证书的服务器上开启“443”端口，同时在安全组增加“443”端口，避免安装后仍然无法启用HTTPS。

● 如果一个域名有多个服务器，则每一个服务器上都要部署。

● 待安装证书的服务器上需要运行的域名，必须与证书的域名一一对应，即购买的是哪个域名的证书，则用于哪个域名。否则安装部署后，浏览器将提示不安全。

操作步骤

在Tomcat服务器上安装SSL证书的流程如下所示：

(34)

①获取文件 → ②创建目录 → ③修改配置文件 → ④重启Tomcat → ⑤效果验证

步骤一：获取文件

安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤：

● 如果申请证书时，“证书请求文件”选择“系统生成CSR”，具体操作请参见：系统生成CSR。

● 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。

具体操作如下：

● 系统生成CSR

a. 在本地解压已下载的证书文件。

下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件，如图8-3所示。

图8-3 本地解压 SSL 证书

b. 从“证书ID_证书绑定的域名_Tomcat”文件夹内获得证书文件“证书ID_证书绑定的域名_server.jks”和密码文件“证书ID_证书绑定的域名

_keystorePass.txt”。

须知

密码文件“keystorePass.txt”中的密码为服务默认生成的初始随机密码，为了保证您的系统安全，建议您及时修改该密码。转换证书格式时可修改密码，详细操作请参见主流数字证书都有哪些格式？。

● 自己生成CSR

a. 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。

“证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“---BEGIN CERTIFICATE---”和“---END CERTIFICATE---”，分别为服务器证书和中级CA证书。

b. 使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到

“server.pfx”文件。

i. “pem”文件和生成CSR时的私钥“server.key”放在OpenSSL工具安装目录的bin目录下。

ii. 在OpenSSL工具安装目录的bin目录下，执行以下命令将pem格式证书转换为PFX格式证书，按“Enter”。

(35)

openssl pkcs12 -export -out server.pfx -inkey server.key -in 证书 ID_证书绑定的域名_server.pem

回显信息如下：

Enter Export Password:

iii. 输入PFX证书密码，按“Enter”。

此处输入的密码为用户自定义密码，请根据自己的需求进行设置并输入密码。

Verifying - Enter Export Password:

说明

请牢记此处输入的PFX证书密码。后续设置JKS密码需要与此处设置的PFX密码保持一致，否则可能会导致Tomcat启动失败。

为提高用户密码安全性，建议按以下复杂度要求设置密码：

● 密码长度为8～32个字符。

● 至少需要包含大写字母、小写字母、数字、空格、特殊字符~`!@#$%^&*()_

+|{}:"<>?-=\[];',./中的3种类型字符。

iv. 再次输入PFX证书密码，按“Enter”。

当系统没有回显任何错误信息，表示已在OpenSSL工具安装目录下成功生成“server.pfx”文件。

c. 使用Keytool工具，将PFX格式证书文件转换成JKS格式，得到“server.jks”文件。

i. 将b中生成的“server.pfx”文件拷贝到“%JAVA_HOME%/jdk/bin”目录下。

ii. 在“%JAVA_HOME%/jdk/bin”目录下，执行以下命令，按“Enter”。

keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS

输入目标密钥库口令：

iii. 输入JKS证书密码，按“Enter”。

须知

请将JKS密码设置为与PFX证书密码相同的密码，否则可能会导致Tomcat 启动失败。

再次输入新口令：

iv. 再次输入JKS证书密码，按“Enter”。

输入源密钥库口令：

v. 输入b.iii中设置PFX证书密码，按“Enter”。

回显类似如下信息时，则表示转换成功，已在OpenSSL工具安装目录下成功生成“server.jks”文件。

已成功导入别名1的条目。

已完成导入命令：1个条目成功导入，0个条目失败或取消

(36)

vi. 在“%JAVA_HOME%/jdk/bin”目录下新建一个“keystorePass.txt”文件，将JKS的密码保存在该文件中。

d. 将转换后的证书文件“server.jks”和新建的密码文件“keystorePass.txt”放在同一目录下。

步骤二：创建目录

在Tomcat的安装目录下创建“cert”目录，并且将证书文件“server.jks”和密码文件

“keystorePass.txt”拷贝到“cert”目录中。

步骤三：修改配置文件

Tomcat7：Tomcat7请参见本部分内容进行配置。

Tomcat8.5/9：Tomcat8.5/9请参见本部分内容进行配置。

● Tomcat7

a. 在Tomcat安装目录的“server.xml”文件中找到如下参数：

<!--

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" />

-->

b. 找到以上参数，去掉<!- - 和 - ->这对注释符。

c. 增加以下2个参数，请根据表8-2修改参数的值。

keystoreFile="cert/server.jks"

keystorePass="证书密码"

完整配置如下，其余参数请根据实际情况进行修改：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="cert/server.jks"

keystorePass="证书密码"

clientAuth="false" sslProtocol="TLS" />

须知

不要直接拷贝所有配置，只需添加“keystoreFile”，“keystorePass”参数即可，其它参数请根据自己的实际情况修改。

表8-2 参数说明（一）

参数参数说明

port 指定服务器要使用的端口号，建议配置为

“443”。

protocol 设置HTTP协议，保持缺省值即可。

keystoreFile “server.jks”文件存放路径，绝对路径和相对路径均可。示例：cert/server.jks

(37)

参数参数说明

keystorePass “server.jks”的密码。填写“keystorePass.txt”

文件内的密码。

须知如果密码中包含“&”，请将其替换成“&”，以免配置不成功。

示例：

如果keystorePass="Ix6&APWgcHf72DMu"，则修改为 keystorePass="Ix6&APWgcHf72DMu"。

clientAuth 是否要求所有的SSL客户出示安全证书，对SSL客户进行身份验证，保持缺省值即可。

d. 在Tomcat安装目录的“server.xml”文件中找到如下参数：

<Host name="localhost" appBase="webapps"

unpackWARs="true" autoDeploy="true">

e. 将“Host name”改为证书绑定的域名。

完整配置如下（以“www.domain.com”为例）：

<Host name="www.domain.com" appBase="webapps"

f. 修改完成后保存配置文件。

● Tomcat8.5/9

a. 在Tomcat安装目录的“server.xml”文件中找到如下参数：

<!--

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxThreads="150" SSLEnabled="true">

<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"

type="RSA" />

</SSLHostConfig>

</Connector>

-->

b. 找到以上参数，去掉<!- - 和 - ->这对注释符。

c. 配置证书相关参数，请根据表8-3修改参数的值。

修改以下参数的值：

certificateKeystoreFile="conf/localhost-rsa.jks"

新增以下参数：

certificateKeystorePassword="证书密码"

完整配置如下，其余参数请根据实际情况进行修改：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxThreads="150" SSLEnabled="true">

<Certificate certificateKeystoreFile="cert/server.jks"

certificateKeystorePassword="证书密码"

type="RSA" />

</SSLHostConfig>

</Connector>

(38)

须知

不要直接拷贝所有配置，只需修改“certificateKeystoreFile”和新增

“certificateKeystorePassword”参数即可，其它参数请根据自己的实际情况修改。

表8-3 参数说明（二）

参数参数说明

port 指定服务器要使用的端口号，建议配置为

“443”。

protocol 设置Http协议，保持缺省值即可。

certificateKeystoreFil

e “server.jks”文件存放路径，绝对路径和相对路径均可。示例：cert/server.jks

certificateKeystorePa

ssword “server.jks”的密码。填写“keystorePass.txt”

文件内的密码。

须知如果密码中包含“&”，请将其替换成“&”，以免配置不成功。

示例：

如果certificateKeystorePassword="Ix6&APWgcHf72DMu"

，则修改为

certificateKeystorePassword="Ix6&APWgcHf72D Mu"。

d. 在Tomcat安装目录的“server.xml”文件中找到如下参数：

<Host name="localhost" appBase="webapps"

e. 将“Host name”改为证书绑定的域名。

<Host name="www.domain.com" appBase="webapps"

f. 修改完成后保存配置文件。

步骤四：重启 Tomcat

在Tomcat bin目录下执行./shutdown.sh命令停止Tomcat服务；

等待10秒后，再执行./startup.sh命令（若进程被守护进程自动拉起，则无需手动启动），启动Tomcat服务。

效果验证

部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。

如果浏览器地址栏显示安全锁标识，则说明证书安装成功。

● 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？进行处理。

(39)

● 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。

● 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

8.3 在 Nginx 服务器上安装 SSL 证书

本章节介绍如何将下载的证书安装到Nginx服务器上。安装好证书后，您的Web服务器将能支持SSL通信，从而保证您Web服务器的通信安全。

说明

前提条件

约束条件

操作步骤

在Nginx服务器上安装SSL证书的流程如下所示：

①获取文件 → ②创建目录 → ③修改配置文件 → ④验证配置是否正确 → ⑤重启

Nginx → ⑥效果验证

步骤一：获取文件

● 系统生成CSR

(40)

b. 从“证书ID_证书绑定的域名_Nginx”文件夹内获得证书文件“证书ID_证书绑定的域名_server.crt”和私钥文件“证书ID_证书绑定的域名

_server.key”。

▪

^“^证书ID^_^{证书绑定的域名}_server.crt”文件包括两段证书代码“--- BEGIN CERTIFICATE---”和“---END CERTIFICATE---”，分别为服务器证书和中级CA。

▪

^“^证书ID^_^{证书绑定的域名}_server.key”文件包括一段私钥代码“--- BEGIN RSA PRIVATE KEY---”和“---END RSA PRIVATE

KEY---”。

● 自己生成CSR

b. 将“证书ID_证书绑定的域名_server.pem”的后缀名修改为“crt”，即

“server.crt”。

c. 将“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

步骤二：创建目录

在Nginx的安装目录下创建“cert”目录，并且将“server.key”和“server.crt”拷贝到“cert”目录下。

步骤三：修改配置文件

配置Nginx中“conf”目录下的“nginx.conf”文件。

1. 找到如下配置内容：

#server {

# listen 443 ssl;

# server_name localhost;

# ssl_certificate cert.pem;

# ssl_certificate_key cert.key;

# ssl_session_cache shared:SSL:1m;

# ssl_session_timeout 5m;

# ssl_ciphers HIGH:!aNULL:!MD5;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

(41)

# }

#}

2. 删除行首的配置语句注释符号#。

server {

listen 443 ssl;

server_name localhost;

ssl_certificate cert.pem;

ssl_certificate_key cert.key;

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

location / { root html;

index index.html index.htm;

} }

3. 修改如下参数，具体参数修改说明如表8-4所示。

ssl_certificate cert/server.crt;

ssl_certificate_key cert/server.key;

完整的配置如下，其余参数根据实际情况修改：

server {

listen 443 ssl; #配置HTTPS的默认访问端口为443。如果在此处未配置HTTPS的默认访问端口，

可能会导致Nginx无法启动。

server_name www.domain.com; #修改为您证书绑定的域名。

ssl_certificate cert/server.crt; #替换成您的证书文件的路径。

ssl_certificate_key cert/server.key; #替换成您的私钥文件的路径。

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5; #加密套件。

ssl_prefer_server_ciphers on;

location / {

root html; #站点目录。

index index.html index.htm; #添加属性。

} }

须知

不要直接拷贝所有配置，参数中“ssl”开头的属性与证书配置有直接关系，其它参数请根据自己的实际情况修改。

表8-4 参数说明

参数参数说明

listen SSL访问端口号，设置为“443”。

配置HTTPS的默认访问端口为443。如果未配置HTTPS的默认访问端口，可能会导致Nginx无法启动。

server_name 证书绑定的域名。示例：www.domain.com ssl_certificate 证书文件“server.crt”。

设置为“server.crt”文件的路径，且路径中不能包含中文字符，例如“cert/server.crt”。

(42)

参数参数说明

ssl_certificate_key 私钥文件“server.key”。

设置为“server.key”的路径，且路径中不能包含中文字符，例如“cert/server.key”。

4. 修改完成后保存配置文件。

步骤四：验证配置是否正确

进入Nginx执行目录下，执行以下命令：

sbin/nginx -t

当回显信息如下所示时，则表示配置正确：

nginx.conf syntax is ok nginx.conf test is successful

步骤五：重启 Nginx

执行以下命令，重启Nginx，使配置生效。

cd /usr/local/nginx/sbin ./nginx -s reload

效果验证

部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。

如果浏览器地址栏显示安全锁标识，则说明证书安装成功。

● 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？进行处理。

● 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。

● 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

8.4 在 Apache 服务器上安装 SSL 证书

本章节介绍如何将下载的证书安装到Apache服务器上。安装好证书后，您的Web服务器将能支持SSL通信，从而保证您Web服务器的通信安全。

说明

(43)

前提条件

约束条件

操作步骤

在Apache服务器上安装SSL证书的流程如下所示：

①获取文件 → ②创建目录 → ③修改配置文件 → ④重启Apache → ⑤效果验证

步骤一：获取文件

● 系统生成CSR

b. 从“证书ID_证书绑定的域名_Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”和私钥文件

“证书ID_证书绑定的域名_server.key”。

▪

^“^证书ID^_^{证书绑定的域名}_ca.crt”文件包括一段中级CA证书代码“--- BEGIN CERTIFICATE---”和“---END CERTIFICATE---”。

▪

^“^证书ID^_^{证书绑定的域名}_server.crt”文件包括一段服务器证书代码

“---BEGIN CERTIFICATE---”和“---END CERTIFICATE---”。

(44)

▪

^“^证书ID^_^{证书绑定的域名}_server.key”文件包括一段私钥代码“--- BEGIN RSA PRIVATE KEY---”和“---END RSA PRIVATE

KEY---”。

● 自己生成CSR

b. 拷贝“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。

c. 拷贝“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级 CA），并另存为“ca.crt”文件。

d. 将“ca.crt”、“server.crt”和生成CSR时的私钥“server.key”放在任意文件夹内。

步骤二：创建目录

在Apache的安装目录下创建“cert”目录，并且将“server.key”、“server.crt”和

“ca.crt”拷贝到“cert”目录下。

步骤三：修改配置文件

1. 配置Apache中“conf”目录下的“httpd.conf”文件。

a. 用文本编辑器打开Apache根目录下“conf/httpd.conf”文件。

b. 找到以下2个参数，并删除行首的配置语句注释符号“#”。

#LoadModule ssl_module modules/mod_ssl.so(如果找不到请确认是否编译过openssl插件)

#Include conf/extra/httpd-ssl.conf

c. 修改后，保存“httpd.conf”文件并退出编辑。

2. 配置Apache中“conf/extra”目录下的“httpd-ssl.conf”文件。

a. 用文本编辑器打开Apache根目录下“conf/extra/httpd-ssl.conf”文件(由于操作系统及安装方式的不同，“httpd-ssl.conf”文件也可能存放在“conf.d/

ssl.conf”目录下)。

b. 配置证书绑定的域名。

找到并修改如下参数：

ServerName www.example.com:443

ServerName www.domain.com:443 #用户服务器的域名

c. 配置证书公钥。

找到并修改如下参数：

SSLCertificateFile "${SRVROOT}/conf/server.crt"

设置证书公钥文件“server.crt”文件的路径，且路径中不能包含中文字符，

例如“cert/server.crt”。

完整配置如下：

SSLCertificateFile "cert/server.crt"

d. 配置证书私钥。

新增如下参数：

下载私有证书_云证书管理服务 CCM_用户指南_私有证书管理_管理私有证书_华为云

云证书管理服务

用户指南

目 录

1 SSL 证书申购流程...1

2 步骤一：购买 SSL 证书... 3

3 步骤二：申请 SSL 证书... 7

4 步骤三：域名验证... 12

5 步骤四：（OV、EV）组织验证... 21

6 步骤五：签发 SSL 证书...23

7 手动 DNS 验证结果排查... 24

8 下载与安装 SSL 证书...27

9 推送 SSL 证书到云产品...59

10 管理 SSL 证书... 62

11 私有证书管理...84

12 权限管理... 106

13 关键操作审计管理...109

A 修订记录... 112

1 SSL 证书申购流程

2 步骤一：购买 SSL 证书

前提条件

约束条件

操作步骤

▪

▪

后续处理

3 步骤二：申请 SSL 证书

前提条件

约束限制

操作步骤

▪

▪

▪

▪

▪

▪

▪

后续处理

4 步骤三：域名验证

4.1 概览

4.2 方式一：自动 DNS 验证

约束与限制

操作步骤

4.3 方式二：手动 DNS 验证

约束与限制

前提条件

（可选）步骤一：域名托管至华为云云解析服务

步骤二：获取验证信息

步骤三：在华为云云解析服务上进行 DNS 验证

步骤四：查看域名验证是否生效

4-3所示，说明域名授权验证配置已经生效。

4.4 方式三：文件验证

约束与限制

步骤一：获取验证信息

步骤二：创建指定文件

步骤三：查看验证配置是否生效

4.5 方式四：邮箱验证

操作步骤

5 步骤四：（OV、EV）组织验证

前提条件

约束与限制

操作步骤

6 步骤五：签发 SSL 证书

6-1所示。

操作步骤

7 手动 DNS 验证结果排查

操作步骤

7-1所示，说明域名授权验证配置已经生效。

8 下载与安装 SSL 证书

8.1 下载 SSL 证书

前提条件

约束条件

操作步骤

下载的证书文件说明

8.2 在 Tomcat 服务器上安装 SSL 证书

前提条件

约束条件

操作步骤

步骤一：获取文件

步骤二：创建目录

目录

4 ^{步骤三：域名验证}