前提條件

• 已添加集群到ASM實例，且實例版本為1.17及以上。

步驟一：準備服務器證書和私鑰

1. 執行以下命令，創建根證書和私鑰。

   openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt 

2. 執行以下命令，為aliyun.com服務器生成證書和私鑰，有效期為365天。

   openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
   openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt

3. 執行以下命令，為aliyun.com服務器生成一個即將過期的證書和私鑰，有效期為1天。

   此處創建有效期為1天的證書是為了測試ASM的證書過期告警功能。

   openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
   openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt

（可選）步驟二：開啟控制平面日志采集和證書告警

您可以根據實際情況，開啟控制平面日志采集、證書過期告警和證書即將過期告警。如果您的證書有效期不足30天，ASM會認為您的證書即將過期。

• ASM實例為1.17.2.35以下，請參見啟用控制平面日志采集和日志告警（舊版）。

• ASM實例為1.17.2.35及以上，請參見啟用控制平面日志采集和日志告警（新版）。

步驟三：在證書管理頁面創建證書

1. 創建一個正常的證書。

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇ASM網關 > 證書管理。

   3. 在證書管理頁面，單擊創建，然后在證書信息面板，配置相關信息，單擊確定。

      配置項	說明
      名稱	自定義證書的名稱。
      命名空間	默認為istio-system。
      公鑰證書	步驟一第2步生成的aliyun.com.crt文件內容。
      私鑰	步驟一第2步生成的aliyun.com.key文件內容。
      是否啟用mTLS	若您需要創建mTLS通信使用的證書，請打開開關，然后將CA證書的文件內容粘貼至CA證書文本框。

2. 參照步驟1，創建一個即將過期的證書。

   公鑰證書和私鑰請分別使用步驟一第3步生成的expiring.aliyun.com.crt和expiring.aliyun.com.key文件內容。證書創建完成后，您可以在證書管理頁面看到新創建的兩個證書。您可以在操作列，單擊詳情查看證書的詳細信息，也可以單擊編輯修改證書內容。

3. （可選）查看證書的告警日志。

   ASM實例為1.17.2.35以下

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇網格實例 > 基本信息。

   3. 在配置信息區域的控制面日志采集右側，單擊查看日志，然后在左側日志庫，單擊internal-alert-history，在右側的internal-alert-history頁面搜索證書，查看證書的告警日志。

   ASM實例為1.17.2.35及以上

   1. 登錄ASM控制臺，在左側導航欄，選擇服務網格 > 網格管理。

   2. 在網格管理頁面，單擊目標實例名稱，然后在左側導航欄，選擇可觀測管理中心 > 日志中心。

   3. 在日志中心頁面，單擊控制平面日志頁簽，在文本框內輸入證書，單擊查詢/分析，查看證書的告警日志。

   說明

   證書過期告警的檢查間隔為6小時。如果您當前沒有告警日志，請于6小時后進行查看。

4. 引用證書管理中的證書。

   在證書管理頁面創建證書之后，您可以在以下三處直接引用證書。

   • 使用YAML創建或修改網關規則時，如果需要配置TLS證書，您可以直接在credentialName中填寫證書管理中的名稱。更多信息，請參見管理網關規則和網關規則（Gateway）CRD說明。

   • 使用ASM提供的圖形化界面創建網關規則時，您可以直接在界面上選擇證書管理中的證書。更多信息，請參見管理網關規則和網關規則（Gateway）CRD說明。

   • 在網關概覽的域名/證書頁面創建域名時，若需要進行TLS配置，可以直接引用證書管理中的證書。更多信息，請參見為域名添加證書。

步驟四：證書遷移

ASM從1.17版本起，開始支持在ASM網關 > 證書管理對證書進行管理。如果您已在網關概覽的域名/證書頁面創建了證書，請及時遷移至證書管理頁面。

您可以直接在證書管理頁面，創建同名證書，將原有證書的相關信息進行粘貼，之后證書管理頁面會接管原有證書。