证书

前提条件

已下载 OpenSSL。

首次申请证书

1. 本地生成私钥：openssl genrsa -out privateKey.pem 2048，其中 privateKey.pem 为您的私钥文件，请妥善保管。

2. 生成证书请求文件：openssl req -new -key privateKey.pem -out server.csr ，其中 server.csr 是您的证书请求文件，可用其去申请证书。

3. 获取请求文件中的内容，前往 CA 等机构站点申请证书。

添加申请的证书

1. 登录 SOFAStack 控制台，在左侧导航栏单击左下角的 全局设置，进入工作空间页。

2. 单击选择的工作空间卡片，进入 工作空间详情 页面。

3. 单击 资源列表 > 证书，进入证书列表页面。

4. 在列表上方单击 添加，输入证书相关内容后，单击 确定。

   说明

   证书添加完成后，在配置 SLB 的监听器时，可以使用 HTTPS 协议并且选择该证书。

证书格式要求

• 证书必须是 Linux 环境下 pem 格式 的证书。负载均衡不支持其他格式的证书，如果是其他格式的证书，需要先转换证书格式。

• 如果是通过 Root CA 机构颁发的证书，您拿到的证书为唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。

• 如果是通过中级 CA 机构颁发的证书，您拿到的证书文件包含多份证书，需要人为的将服务器证书与中间证书合并在一起上传。

• 拼接规则为：服务器证书放第一份，中间证书放第二份，中间不要有空行。

  说明

  一般情况下，机构在颁发证书的时候会有对应说明， 请注意规则说明。

以下为证书格式和证书链格式范例，请确认格式正确后上传：

• Root CA 机构颁发的证书（格式为 Linux 环境下 pem 格式）：

  

  证书规则：

  • 以 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 做为开头和结尾。

  • 请将这些内容一并上传。

  • 每行 64 字符，最后一行不超过 64 字符。

• 中级机构颁发的证书链：

  ——-BEGIN CERTIFICATE——-
  ——-END CERTIFICATE——-
  ——-BEGIN CERTIFICATE——-
  ——-END CERTIFICATE——-
  ——-BEGIN CERTIFICATE——-
  ——-END CERTIFICATE——-

  证书链规则：

  • 证书之间不能有空行。

  • 每一份证书遵守第一点关于证书的格式说明。

RSA 私钥格式要求

RSA 私钥规则：

• 以 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 作为开头和结尾。请将这些内容一并上传。

• 每行 64 字符，最后一行长度可以不足 64 字符。

若通过上述方法您没有得到 -----BEGIN RSA PRIVATE KEY-----、-----END RSA PRIVATE KEY----- 这种样式的私钥，可以按照如下方式转换：

openssl rsa -in old_server_key.pem -out new_server_key.pem

然后将 new_server_key.pem 的内容与证书一起上传。