您需要配置HTTPS證書,才能通過HTTPS方式訪問資源,實現HTTPS安全加速。本文為您介紹了阿里云CDN支持的證書格式和不同證書格式的轉換方式。
ROOT CA機構頒發的證書
Root CA機構提供的證書是唯一的,一般包括Apache、IIS、Nginx和Tomcat。阿里云全站加速使用的證書是Nginx,證書格式為.crt,證書私鑰格式為.key。
證書上傳格式為:
請將開頭
-----BEGIN CERTIFICATE-----和結尾-----END CERTIFICATE-----一并上傳。每行64字符,最后一行不超過64字符。
在Linux環境下,PEM格式的證書示例如下圖。
中級機構頒發的證書
中級機構頒發的證書文件包含多份證書,您需要將服務器證書與中間證書拼接后,一起上傳。
拼接規則為:服務器證書放第一份,中間證書放第二份。一般情況下,機構在頒發證書的時候會有對應說明, 請注意規則說明。
中級機構頒發的證書鏈:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
證書鏈規則:
證書之間不能有空行。
每一份證書遵守證書上傳的格式說明。
RSA私鑰格式要求
RSA私鑰規則:
本地生成私鑰:
openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem為您的私鑰文件。以
-----BEGIN RSA PRIVATE KEY-----開頭,以-----END RSA PRIVATE KEY-----結尾,請將這些內容一并上傳。每行64字符,最后一行長度可以不足64字符。
如果您并未按照上述方案生成私鑰,得到如-----BEGIN PRIVATE KEY-----或-----END PRIVATE KEY-----樣式的私鑰時,您可以按照如下方式轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem然后將new_server_key.pem的內容與證書一起上傳。
證書格式轉換方式
HTTPS配置只支持PEM格式的證書,其他格式的證書需要轉換成PEM格式,建議通過openssl工具進行轉換。下面是幾種比較流行的證書格式轉換為PEM格式的方法。
DER轉換為PEM
DER格式一般出現在Java平臺中。
證書轉化:
openssl x509 -inform der -in certificate.cer -out certificate.pem私鑰轉化:
openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
P7B轉換為PEM
P7B格式一般出現在Windows Server和Tomcat中。
證書轉化:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer獲取
outcertificate.cer里面-----BEGIN CERTIFICATE-----,-----END CERTIFICATE-----的內容作為證書上傳。私鑰轉化:P7B證書無私鑰,您只需在CDN控制臺填寫證書部分,私鑰無需填寫。
PFX轉換為PEM
PFX格式一般出現在Windows Server中。
證書轉化:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem私鑰轉化:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes