您需要配置HTTPS認證,才能通過HTTPS方式訪問資源,實現HTTPS安全加速。本文為您介紹了阿里雲CDN支援的認證格式和不同認證格式的轉換方式。
ROOT CA機構頒發的認證
Root CA機構提供的認證是唯一的,一般包括Apache、IIS、Nginx和Tomcat。阿里雲全站加速使用的認證是Nginx,認證格式為.crt,認證私密金鑰格式為.key。
認證上傳格式為:
請將開頭
-----BEGIN CERTIFICATE-----和結尾-----END CERTIFICATE-----一併上傳。每行64字元,最後一行不超過64字元。
在Linux環境下,PEM格式的認證樣本如下圖。
中級機構頒發的認證
中級機構頒發的認證檔案包含多份認證,您需要將伺服器憑證與中間認證拼接後,一起上傳。
拼接規則為:伺服器憑證放第一份,中間認證放第二份。一般情況下,機構在頒發認證的時候會有對應說明, 請注意規則說明。
中級機構頒發的憑證鏈結:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
憑證鏈結規則:
認證之間不能有空行。
每一份認證遵守認證上傳的格式說明。
RSA私密金鑰格式要求
RSA私密金鑰規則:
本地產生私密金鑰:
openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem為您的私密金鑰檔案。以
-----BEGIN RSA PRIVATE KEY-----開頭,以-----END RSA PRIVATE KEY-----結尾,請將這些內容一併上傳。每行64字元,最後一行長度可以不足64字元。
如果您並未按照上述方案產生私密金鑰,得到如-----BEGIN PRIVATE KEY-----或-----END PRIVATE KEY-----樣式的私密金鑰時,您可以按照如下方式轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem然後將new_server_key.pem的內容與認證一起上傳。
認證格式轉換方式
HTTPS配置只支援PEM格式的認證,其他格式的認證需要轉換成PEM格式,建議通過openssl工具進行轉換。下面是幾種比較流行的認證格式轉換為PEM格式的方法。
DER轉換為PEM
DER格式一般出現在Java平台中。
認證轉化:
openssl x509 -inform der -in certificate.cer -out certificate.pem私密金鑰轉化:
openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
P7B轉換為PEM
P7B格式一般出現在Windows Server和Tomcat中。
認證轉化:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer擷取
outcertificate.cer裡面-----BEGIN CERTIFICATE-----,-----END CERTIFICATE-----的內容作為認證上傳。私密金鑰轉化:P7B認證無私密金鑰,您只需在CDN控制台填寫認證部分,私密金鑰無需填寫。
PFX轉換為PEM
PFX格式一般出現在Windows Server中。
認證轉化:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem私密金鑰轉化:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes