|
|
本文介绍如何将本地 SSL 证书(国际标准或国密证书)、PCA 证书上传或同步至数字证书管理服务控制台进行管理,以及如何在不同的阿里云账号之间免费共享 SSL 证书。
上传 SSL 证书
如果您使用的是第三方服务商签发的国际标准或国密(SM2)标准的 SSL 证书,并且希望通过数字证书管理服务统一管理该证书,您可以将 SSL 证书上传至数字证书管理服务控制台进行管理。
在上传 SSL 证书前,请您准备以下文件:
说明
为了更好地保护您的证书数据安全,您已上传到 数字证书管理服务 控制台的证书不支持下载。
-
登录 数字证书管理服务控制台 。
-
在左侧导航栏,选择 。
-
在 上传证书 页签,单击 上传证书 。
-
在 上传证书 面板,完成参数配置,单击 确定 。
证书标准为 国际标准 和 国密(SM2)标准 时需要配置不同的参数,您可以参考以下表格进行配置。
-
国际标准
参数
说明
证书标准
此处选择 国际标准 。国际标准算法指经过广泛审查、测试,并被国际标准化组织(ISO)、国际电工委员会(IEC)等认可的加密算法,例如 RSA、ECC 算法。
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
证书文件
填写证书文件内容(PEM 编码)。
-
证书文件内容填写格式:
-
如果您的业务场景仅需确保服务端证书可信,则证书文件需要包含服务器证书(①)和中间证书(②)。如果您的中间证书和服务器证书是两个文件,您可以在 证书链 配置项填写中间证书内容即可。
-
如果您的业务场景需确保客户端和服务端证书可信,则证书文件应该包含服务器证书(①)、中间证书(②)和根证书(③)。如果您的中间证书、根证书和服务器证书是三个文件,您需要按照图示顺序拼接中间证书和根证书,并在 证书链 配置项填写即可。
-
-
填写方式:
-
手动填写 :使用文本编辑工具打开 PEM 或者 CRT 格式的证书文件,复制其中的内容并粘贴到该文本框。
-
上传文件解析 (推荐): 单击 上传文件解析 ,并选择存储在本地计算机的证书文件,文件内容将会自动解析至文本框。
-
证书私钥
填写证书私钥内容(PEM 编码)。
-
私钥内容填写格式:
-
RSA
-
ECC
-
-
填写方式:
-
手动填写 :使用文本编辑工具打开 KEY 格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
-
上传文件解析 : 单击 上传文件解析 ,并选择存储在本地计算机的证书私钥文件,文件内容将会自动解析至文本框。
-
选择已有的 CSR :支持选择通过数字证书管理控制台创建或上传的 CSR,且系统会自动匹配对应证书文件的 CSR。CSR 相关操作和说明,请参见 手动创建或上传 CSR 。
-
说明如果您在上传证书相关文件后收到 证书与私钥不匹配 的提示,可能是因为您的私钥文件包含了 RSA 字符。您可以使用
openssl rsa -in <原私钥文件名> -out <自定义现私钥文件名>命令将其转换后再进行上传。证书链
可选。填写中间证书或根证书(PEM 编码)。如果您的证书文件中包含完整证书链,该配置项可不用填写。
-
证书链内容填写格式:
-
中间证书或根证书
-
中间证书(①)和根证书(②)
-
-
填写方式:
-
手动填写 :使用文本编辑工具打开 PEM 或者 CRT 格式的证书链文件,复制其中的内容并粘贴到该文本框。
-
上传文件解析 (推荐): 单击 上传文件解析 ,并选择存储在本地计算机的证书链文件,文件内容将会自动解析至文本框。
-
资源组
可选。选择关联的资源组。
标签键 、 标签值
可选。设置自定义标签。
-
-
国密(SM2)标准
参数
说明
证书标准
此处选择 国密(SM2)标准 。该标准是中国密码局认定的国产密码算法,目前 数字证书管理服务 支持 SM2 非对称算法。
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、数字、下划线(_)和短划线(-)。
证书文件
填写 签名证书文件 内容(PEM 编码)。
您可以使用文本编辑工具打开 PEM 或者 CRT 格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的 上传文件解析 ,并选择存储在本地计算机的 签名证书文件 ,将文件内容上传到文本框。
证书私钥
填写 签名证书私钥 内容(PEM 编码)。
您可以使用文本编辑工具打开 KEY 格式的签名证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的 上传文件解析 ,并选择存储在本地计算机的 签名证书私钥文件 ,将文件内容上传到文本框。
加密证书
填写 加密证书文件 内容(PEM 编码)。
您可以使用文本编辑工具打开 PEM 或者 CRT 格式的加密证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的 上传文件解析 ,并选择存储在本地计算机的 加密证书文件 ,将文件内容上传到文本框。
加密私钥
填写 加密证书私钥 内容(PEM 编码)。
您可以使用文本编辑工具打开 KEY 格式的加密证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的 上传文件解析 ,并选择存储在本地计算机的 加密证书私钥文件 ,将文件内容上传到文本框。
资源组
可选。选择关联的资源组。
标签键 、 标签值
可选。设置自定义标签。
成功上传证书后,您可以在证书列表中查看已上传的证书。如果无需在 数字证书管理服务 控制台管理已上传的证书时,您可以在该证书 操作 列,单击 删除 ,删除该证书。
重要删除操作仅将证书从已上传证书列表中移除,不会影响证书的有效期。证书删除后无法恢复,建议您谨慎操作。
-
PCA 证书批量同步到 SSL 证书
数字证书管理服务支持将已签发的 PCA 证书批量同步至 SSL 证书,免去您手动操作上传的繁琐步骤。 下面以 私有 CA 的同步操作为例, 具体操作步骤如下:
-
登录 数字证书管理服务控制台 。
-
在左侧导航栏,选择 ,在 PCA 证书管理 页面,选择 PCA 服务所在地域。
-
选择 私有 CA 页签,在列表中展开目标根 CA,在子 CA 的操作栏,单击 证书列表 。
-
勾选证书列表中的证书后,单击 批量同步到 SSL 证书 ,在弹出提示框中单击 确定 ,等待同步结束, 状态 一栏显示为 上传成功 即可。
-
同步成功后,您可前往 页签,在列表中查看已上传的 PCA 证书。
说明
合规 CA 和 私有 CA 证书的批量同步操作基本一致,您可参考上方步骤,完成 合规 CA 证书的批量同步操作。
共享 SSL 证书
如果您拥有多个阿里云账号(主账号),并且这些账号归属于同一个经过实名认证的个人或企业用户,您可以在不同的阿里云账号之间共享证书,共享后的证书可以免费部署到阿里云云产品上。
共享限制
以下场景,不能共享 SSL 证书:
-
在中国站阿里云账号中申请的证书不能共享到国际站的阿里云账号,同时您在国际站阿里云账号中申请的证书不能共享到中国站的阿里云账号。
-
当前阿里云账号下的共享证书不能再次被共享给其他阿里云账号。例如,您拥有 a、b、c 三个不同的阿里云账号,当您将 a 账号中的证书共享给 b 账号后,不能再通过 b 账号将该证书共享给 c 账号。
-
通过本地上传的证书不支持共享。
操作步骤
-
登录 数字证书管理服务控制台 。
-
在左侧导航栏,选择 。
-
在 正式证书 或 个人测试证书(原免费证书) 页签,定位到已签发且需要共享的证书,在 操作 列,单击 更多 。
-
在 分享证书 页签中的 账号 ID 输入框,输入要共享的阿里云账号 ID,单击 确认分享 。
完成证书共享后,您可以通过共享的阿里云账号登录 数字证书管理服务 控制台,在 SSL 证书管理 页面的 上传证书 页签查看被共享的证书(在 状态 列显示
图标)。
上传证书待处理事项
待办事项提醒弹窗
在您切换至 上传证书 页签时,如果在已上传的证书中检测到存在 证书未开启消息提醒 、 证书待续费 等事项,控制台将会弹出 上传证书待处理事项 弹窗,提醒您处理相关事项。
处理待办事项
弹窗会展示相应事项的具体待办数量和可执行操作,您可进行以下操作:
-
证书未开启消息提醒
-
查看 :证书列表将会筛选并选中 证书未开启消息提醒 状态的证书,您可以单击列表下方的 消息提醒 按钮,开启消息提醒。
-
一键提醒 :证书列表会筛选并选中 证书未开启消息提醒 状态的证书,您可以单击列表下方的 消息提醒 按钮,开启消息提醒。
说明开启消息提醒,将消耗对应数量的消息提醒资源额度,如果当前额度不足,您需要 购买消息提醒资源 。
-
-
证书待续费
-
查看 :证书列表将会筛选出 证书待续费 状态的证书,您可点击对应证书操作列的 更新证书 ,完成后续的续费操作。
-
更新证书 :证书列表将会筛选出 证书待续费 状态的证书,您可点击对应证书操作列的 更新证书 ,完成后续的续费操作。
-
弹窗频率控制
如果您暂时不需要处理以上待办事项,可以勾选 7 天内不再提醒 后 关闭 ,以减少相应的提醒频率。
主动查看待办
您可通过 ,再次唤起 上传证书待处理事项 弹窗。
上传证书风险提示
如果您上传的私有 CA 证书有效期过长(超过 1 年),系统将会在对应证书的 有效期限 一栏提示您相应的泄露风险。您可将鼠标悬停在 有泄露风险 标签上,根据弹出提示处理。
说明
建议您在签发私有 CA 证书时,有效期设置不要超过 1 年,以减少密钥泄露风险。
相关文档
上传证书托管说明,请参见 开启证书托管 。