传统型负载均衡CLB只支持PEM格式的证书。在上传证书前,确保您的证书、证书链和私钥符合格式要求。其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。建议使用Open SSL进行转换。
证书类型
CLB支持的证书类型:国际标准证书(RSA)。
证书要求
Root CA机构颁发的证书
如果是通过Root CA机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
证书格式必须符合如下要求:
以
-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----开头和结尾。每行64个字符,最后一行长度可以不足64个字符。
证书内容不能包含空格。
中级机构颁发的证书
如果是通过中级CA机构颁发的证书,您拿到的证书文件包含多份证书,需要将服务器证书与中级证书合并在一起上传。
证书链格式必须符合如下要求:
服务器证书放第一位,中级证书放第二位,中间不能有空行。
证书内容不能包含空格。
证书之间不能有空行,并且每行64字节。更多信息,请参见RFC1421。
符合证书的格式要求。一般情况下,中级机构在颁发证书时会有对应说明,证书要符合证书机构的格式要求。
中级机构颁发的证书链示例。
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----证书公钥
CLB支持的公钥算法:
RSA 1024
RSA 2048
RSA 4096
RSA私钥格式要求
在上传服务器证书时,您也需要上传证书的私钥。
RSA私钥格式必须符合如下要求:
以
-----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY-----开头和结尾,请将这些内容一并上传。字串之间不能有空行,每行64字符,最后一行长度可以不足64字符。更多信息,请参见RFC1421。
如果您的私钥是加密的,例如私钥的开头和结尾是-----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY-----或-----BEGIN ENCRYPTED PRIVATE KEY-----, -----END ENCRYPTED PRIVATE KEY-----,或者私钥中包含Proc-Type: 4,ENCRYPTED,需要先运行以下命令进行转换:
openssl rsa -in old_server_key.pem -out new_server_key.pem转换证书格式
DER转换为PEM
DER格式通常使用在Java平台中,证书文件后缀一般为.der、.cer或者.crt。
运行以下命令进行证书转换:
openssl x509 -inform der -in certificate.cer -out certificate.pem运行以下命令进行私钥转换:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B转换为PEM
P7B格式通常使用在Windows Server和Tomcat中。
运行以下命令进行证书转换:
openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cerPFX转换为PEM
PFX格式通常使用在Windows Server中。
运行以下命令提取证书:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem运行以下命令提取私钥:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes