如果您从第三方证书服务平台获得了SSL证书,希望将您的SSL证书部署到火山引擎云产品进行使用,或者希望在证书中心统一管理所有SSL证书(如进行证书的续费操作等),您可以将SSL证书上传到证书中心。本文介绍如何在证书中心控制台上传SSL证书。
使用限制
只允许上传采用以下密钥算法的证书到证书中心:
- 非国密证书:RSA、ECC
- 国密证书:SM2
一个火山引擎账号(包含所有相关的子账号)最多可以上传 500 本证书到证书中心。
前提条件
上传SSL证书前,确保您已经准备好证书和私钥文件。
要上传采用RSA/ECC算法的证书,您需要准备以下文件:
- PEM编码的证书文件。
文件扩展名为.crt或者.pem。 - PEM编码的证书私钥文件。
文件扩展名为.key或者.pem。私钥必须是未设定密码保护的。
要上传采用SM2算法的证书,您需要准备以下文件:
- PEM编码的证书文件(用于签名)和证书文件(用于加密)。
文件扩展名为.crt或者.pem。 - PEM编码的私钥文件(用于签名)和私钥文件(用于加密)。
文件扩展名为.key或者.pem。私钥必须是未设定密码保护的。
注意
如果您选择上传证书链,必须确保证书链的有效性。证书链由多个证书构成,按照一定顺序排列。在证书链中,除了最后一个证书外,每一个证书是由下一个证书签发的。若证书之间的签发关系不成立,则该证书链便是无效的。
操作步骤
证书上传成功后,您可以在 证书管理 页面查看已上传的证书。您可以将上传的证书部署到支持的火山引擎云产品(如火山引擎CDN、DCDN)进行使用。相关操作,请参见证书部署。
说明
如果您收到证书已经上传成功的提示,但在列表中没有看到该证书,请留意顶部导航栏处选择的项目。列表仅展示了归属于所选择项目的证书。
配置说明
配置项 | 说明 |
|---|---|
证书标准 | 根据证书是否是国密证书,选择一个证书标准。可选项:
|
密钥算法 | 根据您选择的 证书标准,该参数展示了证书中心支持的密钥算法。 |
上传方式 | 选择一种上传方式。可选项:
|
证书文件 | 输入证书文件的内容或者上传证书文件。对于国密证书,证书文件 对应于证书文件(用于签名)。
|
证书私钥文件 | 输入私钥文件的内容或者上传私钥文件。
|
加密证书 | 输入证书文件(用于加密)的内容或者上传证书文件(用于加密)。具体要求与 证书文件 配置项相同。 说明 该配置项仅在 证书标准 是 国密标准 时才会出现。 |
加密私钥 | 输入私钥文件(用于加密)的内容或者上传私钥文件(用于加密)。具体要求与 证书私钥文件 配置项相同。 说明 该配置项仅在 证书标准 是 国密标准 时才会出现。 |
备注名称 | 为该证书设置一个备注,方便查询。 |
项目 | 为证书指定一个火山引擎项目。
说明 证书上传成功后,如需修改证书所属的项目,可前往项目管理页面进行操作。 |
允许上传相同证书 | 默认不允许上传相同的证书。证书中心会检验您上传的证书是否与证书中心已有的证书相同(基于证书指纹进行判断)。如果证书中心已存在相同的证书,那么您的证书无法上传。 |
开启证书完整性校验 | 默认开启证书完整性校验。证书中心会检查上传的证书是否包含完整的证书链,证书链中每个证书是否由下一个证书签发,以及证书是否采用了不安全的摘要算法。
如果关闭证书完整性校验,证书中心将不会对上传证书的完整性进行校验。只要证书可以正确解析、证书的公钥和私钥相互匹配,就可以上传。 注意 不建议您关闭证书完整性校验,这样可能导致您上传并使用有安全风险的证书,从而影响您的线上业务。 |
FAQ
上传证书时遇到“无法补全证书链”报错,如何处理?
如果您上传的证书链无效,那么证书将无法上传,并且您会收到“无法补全证书链”的错误提示。针对这个错误提示,您可以选择只上传针对您的域名颁发的证书,而无需提交整个证书链。
假设您的原始证书链包含 3 本证书,它的结构如下:
-----BEGIN CERTIFICATE----- 证书1 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 证书2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 证书3 -----END CERTIFICATE-----
您可以使用火山引擎证书解析工具分别解析证书1、证书2、证书3,找到颁发给您的域名的证书。
假设您找到的证书是证书1。那么在上传证书时,您在 证书文件 中输入以下内容,即可成功上传证书:
-----BEGIN CERTIFICATE----- 证书1 -----END CERTIFICATE-----