证书管理

您可以对已经接入 CDN 的域名进行 HTTPS 证书配置。CDN 支持配置您已有的证书,或腾讯云 SSL 证书管理 控制台中托管或颁发的证书。

说明:

证书过期前30天、前15天、前7天及过期当天腾讯云都会以短信、邮件、站内信形式向用户账号发送到期提醒。现已支持SSL证书自定义告警接收人,您可进入 消息订阅 配置。

证书及私钥

若您要为您的域名配置已有证书,请先了解以下内容。若您配置的是腾讯云 SSL 证书管理 控制台中托管或颁发的证书,可跳过此部分内容,直接查阅后文配置证书流程。
CA 机构提供的证书一般包括以下几种,其中 CDN 使用的是 Nginx

image

进入 Nginx 文件夹,使用文本编辑器打开 “.crt”(证书)文件和 “.key”(私钥)文件,即可看到 PEM 格式的证书内容及私钥内容。


image

证书

证书扩展名一般为“.pem”,“.crt”或“.cer”,在文本编辑器中打开证书文件,可以看到与下图格式相似的证书内容。
证书 PEM 格式:以“-----BEGIN CERTIFICATE-----”作为开头, “-----END CERTIFICATE-----” 作为结尾。中间的内容每行 64 字符,最后一行长度可以不足 64 字符。


image

如果是通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为地将服务器证书与中间证书拼接在一起上传。拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅规则说明。

注意:

  • 证书之间不能有空行。
  • 每一份证书均为 PEM 格式。

中级机构颁发的证书链格式如下:

  • [](javascript: void 0;)
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

私钥

私钥扩展名一般为“.pem”或“.key”,在文本编辑器中打开私钥文件,可以看到与下图格式相似的私钥内容。
私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行 64 字符,最后一行长度可以不足 64 字符。


image

如果您得到是以“-----BEGIN PRIVATE KEY-----”作为开头, “-----END PRIVATE KEY-----” 作为结尾的私钥,建议您通过 openssl 工具进行格式转换,命令如下。

  • [](javascript: void 0;)
openssl rsa -in old_server_key.pem -out new_server_key.pem

配置证书

  1. 登录 CDN 控制台,在左侧菜单栏【高级工具】下单击【证书管理】进入管理页面。
  2. 单击【配置证书】进入配置证书页面。


    image

选择域名

在【域名】下拉菜单中选择您要配置证书的域名。


证书域名

注意:

  • 配置证书的域名需要已接入腾讯云 CDN,且域名状态为部署中已启动已关闭状态的域名无法部署证书。
  • 使用腾讯云对象存储万象优图服务开启 CDN 加速后,默认的 .file.myqcloud.com.image.myqcloud.com域名无法配置证书。

选择证书

您可以选择使用自有证书或腾讯云托管证书。

自有证书

选中【自有证书】,将证书内容、私钥内容粘贴入对文本框,您可以给证书添加备注信息以便区分。


选择证书

注意:

  • 证书内容需要为 PEM 格式,非此格式证书请参考后文 PEM 格式转换
  • 当您的证书有证书链时,请将证书链内容,转化为 PEM 格式内容,与证书内容合并上传,证书链补齐问题请参见后文证书链补齐

腾讯云托管证书

您可以登录 SSL 证书管理 控制台,申请由亚洲诚信免费提供的第三方证书,或是将已有证书托管至腾讯云。
选中【腾讯云托管证书】,即可看到该域名可用的证书列表。从证书列表中选择要使用的证书,证书列表中展示格式为“证书 ID(备注)”。

托管证书

回源方式

配置证书后,您可以选择 CDN 节点回源站获取资源时的回源方式,CDN 支持 HTTP协议回源两种回源方式。

image

注意:

  • 选择 HTTP 回源配置成功后,用户至 CDN 节点请求支持 HTTPS/HTTP,CDN 节点回源站请求均为 HTTP。
  • 选择协议跟随回源配置,您的源站需要部署有效证书,否则将导致回源失败。配置成功后,用户至 CDN 节点请求为 HTTP 时,CDN 节点回源请求也为 HTTP。用户至 CDN 节点请求为 HTTPS 时,CDN 节点回源请求也为 HTTPS。
  • 若域名源站修改 HTTPS 端口为非 443 端口,会导致配置失败。
  • COS 源或 FTP 源域名仅支持 HTTP 回源。

配置成功

单击【提交】,您可以在【证书管理】页面看到已经配置成功的域名及证书信息。


证书配置成功列表

批量配置证书

若您拥有多域名证书或泛域名证书,可适用于多个 CDN 加速域名,您可以通过批量配置,一次性为多个域名添加配置。

  1. 登录 CDN 控制台,在左侧菜单栏【高级工具】下单击【证书管理】进入管理页面。
  2. 单击【批量配置】进入批量管理页面。


    image

上传证书

将 PEM 编码的证书内容和私钥贴在页面对应文本框中,您可以通过修改备注名标识配置的证书,完成后单击【下一步】。


批量

关联域名和选择回源方式

CDN 系统会识别出可使用您上传证书的 CDN 加速域名(域名状态需要为部署中已启动),您可以勾选需要关联的域名及选择回源方式。

批量2

注意:

  • 一次最多可勾选10个加速域名进行配置。
  • 选择 HTTP 回源配置成功后,用户至 CDN 节点请求支持 HTTPS/HTTP,CDN 节点回源站请求均为 HTTP。
  • 选择 HTTPS 回源配置,您的源站需要部署有效证书,否则将导致回源失败。配置成功后,用户至 CDN 节点请求为 HTTP 时,CDN 节点回源请求也为 HTTP。用户至 CDN 节点请求为 HTTPS 时,CDN 节点回源请求也为 HTTPS。
  • 若批量勾选的域名中,有源站修改 HTTPS 端口为非 443 端口,会导致配置失败。
  • 若批量勾选的域名中存在 COS 源或 FTP 源的域名,仅支持 HTTP 回源。

提交配置

单击【提交】,CDN 会对所选域名配置证书,每一个域名配置需要5分钟左右,请耐心等待。您可以在【证书管理】页面查看证书配置状态。

注意:

  • 若配置失败,您可以通过单击域名右侧的【编辑】按钮,重新进行证书配置。
  • 若批量配置的域名中存在已配置了证书的域名,则该操作会覆盖域名原有证书,若覆盖失败,该域名的证书状态会变为【更新失败】。此时原来配置的证书仍然有效,您可以通过单击域名右侧的【编辑】按钮,重新进行覆盖操作。

编辑证书

对于已经配置成功的证书,您可以通过单击域名右侧的【编辑】按钮更新证书。


编辑证书

您可以在自有证书和腾讯云托管证书之间进行切换,以及重新选择回源方式。单击【提交】即可完成部署。部署过程为无缝覆盖,不会影响您的业务使用。


回源方式

删除证书

您可以通过单击域名右侧的【删除】按钮,将您部署的证书在 CDN 上删除。


删除证书

证书链补齐

在使用自有证书配置过程中,可能会出现证书链无法补齐的情况,如下图所示。

image

您可以通过将 CA 的证书(PEM 格式)内容贴入域名证书(PEM 格式)尾部,来补齐证书链。也可以提交工单联系我们。


image

PEM 格式转换

目前 CDN 只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。

DER 转换为 PEM

DER 格式一般出现在 Java 平台中。
证书转换:

  • [](javascript: void 0;)
openssl x509 -inform der -in certificate.cer -out certificate.pem

私钥转换:

  • [](javascript: void 0;)
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B 转换为 PEM

P7B 格式一般出现在 Windows Server 和 tomcat 中。
证书转换:

  • [](javascript: void 0;)
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

用文本编辑器打开 outcertificat.cer 即可查看 PEM 格式的证书内容。
私钥转换:私钥一般在 IIS 服务器里可导出。

PFX 转换为 PEM

PFX 格式一般出现在 Windows Server 中。
证书转换:

  • [](javascript: void 0;)
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

私钥转换:

  • [](javascript: void 0;)
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 218,640评论 6 507
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 93,254评论 3 395
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 165,011评论 0 355
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,755评论 1 294
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,774评论 6 392
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,610评论 1 305
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,352评论 3 418
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,257评论 0 276
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,717评论 1 315
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,894评论 3 336
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,021评论 1 350
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,735评论 5 346
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,354评论 3 330
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,936评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,054评论 1 270
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,224评论 3 371
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,974评论 2 355

推荐阅读更多精彩内容