本文介紹如何將本地SSL認證(國際標準或國密認證)上傳至數位憑證管理服務控制台進行管理,以及如何在不同的阿里雲帳號之間免費共用SSL認證。
上傳SSL認證
如果您使用的是第三方服務商簽發的國際標準或國密(SM2)標準的SSL認證,並且希望通過數位憑證管理服務統一管理該認證,您可以將SSL認證上傳至數位憑證管理服務控制台進行管理。
在上傳SSL認證前,請您準備以下檔案:
為了更好地保護您的認證資料安全,您已上傳到數位憑證管理服務控制台的認證不支援下載。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在上傳證書頁簽,單擊上傳證書。
在上傳證書面板,完成參數配置,單擊確定。
認證標準為國際標準和國密(SM2)標準時需要配置不同的參數,您可以參考以下表格進行配置。
國際標準
參數
說明
認證標準
此處選擇國際標準。國際標準演算法指經過廣泛審查、測試,並被國際標準組織(ISO)、國際電子電機委員會(IEC)等認可的密碼編譯演算法,例如RSA、ECC演算法。
認證名稱
為要上傳的認證設定一個名稱。
支援使用英文字母、英文句號、數字、底線(_)和短劃線(-)。
認證檔案
填寫認證檔案內容(PEM編碼)。
認證檔案內容填寫格式:
如果您的業務情境僅需確保服務端認證可信,則認證檔案需要包含伺服器憑證(①)和中間認證(②)。如果您的中間認證和伺服器憑證是兩個檔案,您可以在憑證鏈結配置項填寫中間認證內容即可。
如果您的業務情境需確保用戶端和服務端認證可信,則認證檔案應該包含伺服器憑證(①)、中間認證(②)和根憑證(③)。如果您的中間認證、根憑證和伺服器憑證是三個檔案,您需要按照圖示順序拼接中間認證和根憑證,並在憑證鏈結配置項填寫即可。
填寫方式:
使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框。
單擊該文字框下的上傳,並選擇儲存在本機電腦的認證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫認證私密金鑰內容(PEM編碼)。
私密金鑰內容填寫格式:
RSA
ECC
填寫方式:
手動填寫:使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框。
上傳本地認證私密金鑰檔案:單擊該文字框下的上傳並選擇儲存在本機電腦的認證私密金鑰檔案,將檔案內容上傳到文字框。
選擇已有的CSR(Certificate Signing Request):支援選擇通過數位憑證管理主控台建立或上傳的CSR,且系統會自動匹配對應認證檔案的CSR。CSR相關操作和說明,請參見管理CSR。
說明如果您在上傳認證相關檔案後收到認證與私密金鑰不匹配的提示,可能是因為您的私密金鑰檔案包含了RSA字元。您可以使用
openssl rsa -in <原私密金鑰檔案名稱> -out <自訂現私密金鑰檔案名稱>
命令將其轉換後再進行上傳。憑證鏈結
可選。填寫中間認證或根憑證(PEM編碼)。如果您的認證檔案中包含完整憑證鏈結,該配置項可不用填寫。
憑證鏈結內容填寫格式:
中間認證或根憑證
中間認證(①)和根憑證(②)
填寫方式:
使用文本編輯工具開啟PEM或者CRT格式的憑證鏈結檔案,複製其中的內容並粘貼到該文字框。
單擊該文字框下的上傳,並選擇儲存在本機電腦的憑證鏈結,將檔案內容上傳到文字框。
國密(SM2)標準
參數
說明
認證標準
此處選擇國密(SM2)標準。該標準是中國密碼局認定的國產密碼演算法,目前數位憑證管理服務支援SM2非對稱演算法。
認證名稱
為要上傳的認證設定一個名稱。
支援使用英文字母、數字、底線(_)和短劃線(-)。
認證檔案
填寫簽署憑證檔案內容(PEM編碼)。
您可以使用文本編輯工具開啟PEM或者CRT格式的認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的簽署憑證檔案,將檔案內容上傳到文字框。
認證私密金鑰
填寫簽署憑證私密金鑰內容(PEM編碼)。
您可以使用文本編輯工具開啟KEY格式的簽署憑證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的簽署憑證私密金鑰檔案,將檔案內容上傳到文字框。
加密認證
填寫加密認證檔案內容(PEM編碼)。
您可以使用文本編輯工具開啟PEM或者CRT格式的加密認證檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的加密認證檔案,將檔案內容上傳到文字框。
加密私密金鑰
填寫加密認證私密金鑰內容(PEM編碼)。
您可以使用文本編輯工具開啟KEY格式的加密認證私密金鑰檔案,複製其中的內容並粘貼到該文字框,或者單擊該文字框下的上傳,並選擇儲存在本機電腦的加密認證私密金鑰檔案,將檔案內容上傳到文字框。
成功上傳認證後,您可以在認證列表中查看已上傳的認證。如果無需在數位憑證管理服務控制台管理已上傳的認證時,您可以在該認證操作列,單擊刪除,刪除該認證。
重要刪除操作僅將認證從已上傳認證列表中移除,不會影響認證的有效期間。認證刪除後無法恢複,建議您謹慎操作。
共用SSL認證
如果您擁有多個阿里雲帳號(主帳號),並且這些帳號歸屬於同一個經過實名認證的個人或企業使用者,您可以在不同的阿里雲帳號之間共用認證,共用後的認證可以免費部署到阿里雲雲產品上。
共用限制
以下情境,不能共用SSL認證:
在中國站阿里雲帳號中申請的認證不能共用到國際站的阿里雲帳號,同時您在國際站阿里雲帳號中申請的認證不能共用到中國站的阿里雲帳號。
當前阿里雲帳號下的共用認證不能再次被共用給其他阿里雲帳號。例如,您擁有a、b、c三個不同的阿里雲帳號,當您將a帳號中的認證共用給b帳號後,不能再通過b帳號將該認證共用給c帳號。
通過本地上傳的認證不支援共用。
操作步驟
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽,定位到已簽發且需要共用的認證,在操作列,單擊更多。
在分享認證頁簽中的帳號ID輸入框,輸入要共用的阿里雲帳號ID,單擊確認分享。
完成認證共用後,您可以通過共用的阿里雲帳號登入數位憑證管理服務控制台,在SSL證書管理頁面的上傳證書頁簽查看被共用的認證(在狀態列顯示表徵圖)。
相關文檔
上傳認證託管說明,請參見開啟認證託管。