負載均衡 > 常見問題

證書管理相關問題

常用證書申請流程

1、本地生成私鑰：openssl genrsa -out privateKey.pem 2048 其中privateKey.pem為您的私鑰檔案，請妥善保管。

2、生成證書請求檔案：openssl req -new -key privateKey.pem -out server.csr其中server.csr是您的證書請求檔案，可用其去申請證書。

3、擷取請求檔案中的内容前往CA等機構站點申請證書。

證書格式要求

您要申請的證書為：linux環境下pem格式的證書。負載均衡不支援其他格式的證書，如是其它格式的證書請參考本文 “負載均衡支援的證書格式及轉換方式” 部分内容。

如果是通過root CA機構頒發的證書， 您拿到的證書為唯一的一份，不需要額外的證書，配置的站點即可被浏覽器等通路裝置認為可信。

如果是通過中級CA機構頒發的證書，您拿到的證書檔案包含多份證書，需要人為的将伺服器證書與中間證書合并在一起上傳。

拼接規則為：伺服器證書放第一份，中間證書放第二份，中間不要有空行。注：一般情況下，機構在頒發證書的時候會有對應說明， 請注意規則說明。

以下為證書格式和證書鍊格式範例，請确認格式正确後上傳：

1、root CA機構頒發的證書：證書格式為linux環境下pem格式。Sample：

證書規則為：

a、 [——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 開頭和結尾；請将這些内容一并上傳；

b、 每行64字元，最後一行不超過64字元；

2、中級機構頒發的證書鍊：

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

證書鍊規則：

a、證書之間不能有空行；

b、每一份證書遵守第一點關于證書的格式說明；

RSA私鑰格式要求

rsa私鑰規則：

a、[——-BEGIN RSA PRIVATE KEY——-, ——-END RSA PRIVATE KEY——-] 開頭結尾；請将這些内容一并上傳；

b、每行64字元，最後一行長度可以不足64字元。

如果您不是按照上述方案生成私鑰，得到[——-BEGIN PRIVATE KEY——-, ——-END PRIVATE KEY——-] 這種樣式的私鑰，您可以按照如下方式轉換：

openssl rsa -in old_server_key.pem -out new_server_key.pem

然後将new_server_key.pem的内容與證書一起上傳。

負載均衡支援的證書格式及轉換方式

負載均衡隻支援PEM格式的證書，其他格式的證書需要轉換成PEM格式後才能上傳到負載均衡中，建議通過openssl 工具進行轉換。下面是幾種比較流行的證書格式轉換為PEM格式的方法。

1、DER 轉換為 PEMDER格式一般出現在java平台中。證書轉化：openssl x509 -inform der -in certificate.cer -out certificate.pem私鑰轉化：openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

2、 P7B 轉換為 PEMP7B格式一般出現在windows server和tomcat中。證書轉化：openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer擷取outcertificat.cer裡面[——-BEGIN CERTIFICATE——-， ——-END CERTIFICATE——-]的内容作為證書上傳。私鑰轉化：無私鑰

3、PFX 轉換為PEMPFX格式一般出現在windows server中。提取私鑰： openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes提驗證書：openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

其它證書相關問題

Q：一個使用者可以上傳多少個證書？

A：目前每個使用者可以支援100個證書。

Q：證書如何上傳？

A：可以通過 API 或 負載均衡控制台 兩種方式上傳。

Q：證書需要上傳到後端ECS嗎？

A：不需要，負載均衡 HTTPS 提供證書管理系統管理和存儲使用者證書，證書不需要上傳到後端ECS，使用者上傳到證書管理系統的私鑰都會加密存儲。

Q：證書區分地域嗎？

A：區分。考慮到安全和性能，目前使用者的證書如需要在多個地域使用，就需要在多個地域上傳。

Q：HTTPS 監聽使用什麼端口？

A：不強制，建議使用443端口。

Q：一個證書可以應用于多少個監聽？

A：一個證書可以應用于一個或多個監聽。

Q：證書上傳後是否可以删除？

A：可以。但證書如被引用了無法删除。

​​https://help.aliyun.com/document_detail/27661.html​​

​​https://help.aliyun.com/document_detail/32336.html?spm=5176.doc32337.6.285.uw67A9​​

​​http://www.tuicool.com/articles/UfMFJj2​​