ROOT CA機(jī)構(gòu)頒發(fā)的證書(shū)

Root CA機(jī)構(gòu)提供的證書(shū)是唯一的，一般包括Apache、IIS、Nginx和Tomcat。阿里云全站加速使用的證書(shū)是Nginx，證書(shū)格式為.crt，證書(shū)私鑰格式為.key。

中級(jí)機(jī)構(gòu)頒發(fā)的證書(shū)

中級(jí)機(jī)構(gòu)頒發(fā)的證書(shū)文件包含多份證書(shū)，您需要將服務(wù)器證書(shū)與中間證書(shū)拼接后，一起上傳。

中級(jí)機(jī)構(gòu)頒發(fā)的證書(shū)鏈：

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

證書(shū)鏈規(guī)則：

• 證書(shū)之間不能有空行。

• 每一份證書(shū)遵守證書(shū)上傳的格式說(shuō)明。

RSA私鑰格式要求

RSA私鑰規(guī)則：

• 本地生成私鑰：openssl genrsa -out privateKey.pem 2048。其中，privateKey.pem為您的私鑰文件。

• 以-----BEGIN RSA PRIVATE KEY-----開(kāi)頭，以-----END RSA PRIVATE KEY----- 結(jié)尾，請(qǐng)將這些內(nèi)容一并上傳。

• 每行64字符，最后一行長(zhǎng)度可以不足64字符。

openssl rsa -in old_server_key.pem -out new_server_key.pem

然后將new_server_key.pem的內(nèi)容與證書(shū)一起上傳。

證書(shū)格式轉(zhuǎn)換方式

HTTPS配置只支持PEM格式的證書(shū)，其他格式的證書(shū)需要轉(zhuǎn)換成PEM格式，建議通過(guò)openssl工具進(jìn)行轉(zhuǎn)換。下面是幾種比較流行的證書(shū)格式轉(zhuǎn)換為PEM格式的方法。

• DER轉(zhuǎn)換為PEM

  DER格式一般出現(xiàn)在Java平臺(tái)中。

  • 證書(shū)轉(zhuǎn)化：

    openssl x509 -inform der -in certificate.cer -out certificate.pem

  • 私鑰轉(zhuǎn)化：

    openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

• P7B轉(zhuǎn)換為PEM

  P7B格式一般出現(xiàn)在Windows Server和Tomcat中。

  • 證書(shū)轉(zhuǎn)化：

    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

    獲取outcertificate.cer里面-----BEGIN CERTIFICATE-----， -----END CERTIFICATE-----的內(nèi)容作為證書(shū)上傳。

  • 私鑰轉(zhuǎn)化：P7B證書(shū)無(wú)私鑰，您只需在CDN控制臺(tái)填寫證書(shū)部分，私鑰無(wú)需填寫。

• PFX轉(zhuǎn)換為PEM

  PFX格式一般出現(xiàn)在Windows Server中。

  • 證書(shū)轉(zhuǎn)化：

    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

  • 私鑰轉(zhuǎn)化：

    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes