不同服务器支持的SSL证书格式不同。数字证书管理服务提供适用于 Nginx、Tomcat、Apache、IIS、JKS 等主流服务器的证书压缩包,可直接下载使用,无需手动转换证书格式。本文介绍如何下载已签发的SSL证书,以及如何根据服务器类型选择合适的证书格式。
通过 SSL证书管理 V2.0 购买的证书请在 SSL证书管理 V2.0 页面下载;非 V2.0 购买的证书请在 SSL证书管理(V1.0停止新购) 页面下载。
前提条件
注意事项
为保证数据安全性,上传到数字证书管理服务进行统一管理的第三方证书不支持下载。
只有状态为已签发、即将过期、已过期的SSL证书支持下载,其他状态无法下载。
操作步骤
登录数字证书管理服务控制台。
V2.0 版本中购买的证书,在左侧导航栏,选择证书管理 > SSL证书管理 V2.0。V1.0 版本中购买的证书,选择证书管理 > SSL证书管理(V1.0停止新购)。
在正式证书或个人测试证书(原免费证书)页签,选中需要下载的证书,在证书列表左下方单击下载。
在弹出的对话框,根据服务器类型选择对应的证书格式,下载证书包并解压。
如果列表中没有与服务器匹配的证书格式,可以先下载PEM格式的证书,再通过证书格式转换工具进行转换。转换证书格式的具体操作,请参见证书格式转换。
说明如何查看服务器类型,请参见如何查看Web服务器类型?。
下载的证书文件通常包含中间证书。安装SSL证书时如遇到中间证书不信任问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
在证书申请过程中,如果使用了通过OpenSSL或Keytool等工具手动生成的证书签名请求文件(CSR),由于私钥文件由本地保管,下载的证书压缩包中不包含私钥文件。
服务器类型与证书格式对照
下载证书时,对话框中提供以下证书类型供选择:
证书类型
服务器类型
证书格式
解压后证书文件说明
国际标准SSL证书
Nginx
PEM
基于Base64编码的通用证书格式,可直接查看文本。适用于 Nginx 等大多数服务器或应用程序。
domain name.pem:证书文件。
domain name.key:证书私钥文件。
Tomcat
PFX(也称为PKCS12)
二进制格式,同时包含公钥和私钥。适用于 Tomcat、IIS、Exchange 等服务器。
domain name.pfx:证书文件,格式为PFX。
pfx-password.txt:证书保护密码。
说明提交证书申请时,如果未将CSR生成方式设置为系统生成,则下载的证书压缩包中不包含TXT密码文件。
Apache
CRT
二进制格式,包含证书及相关元数据(颁发者信息、有效期、主题等),不含私钥。适用于 Apache 服务器。
domain name_public.crt:证书文件。
domain name_chain.crt:证书链文件。
domain name.key:证书私钥文件。
IIS
PFX(也称为PKCS12)
二进制格式,同时包含公钥和私钥。适用于 Tomcat、IIS、Exchange 等服务器。
domain name.pfx:证书文件。
pfx-password.txt:证书保护密码。
JKS
JKS
Java 平台专用的密钥库格式,适用于 Tomcat、Jetty 等基于 Java 的 Web 服务器或应用程序。
解压后包含以下文件:
domain name.jks:证书文件。
jks-password.txt:证书保护密码。
其他
PEM
基于Base64编码的通用证书格式,可直接查看文本。如果控制台没有所需格式,可选择此格式,下载后自行转换。
PEM格式的证书文件:
domain name.pem:证书文件,格式为PEM。
domain name.key:证书私钥文件。
根证书下载
根证书一般为 CRT 或 CER 格式。适用于 App 业务、IoT 终端等非 PC 浏览器场景,此类客户端没有预埋根证书,需要下载并安装对应SSL证书的根证书。单击查看文档,在产品文档中获取目标证书品牌的根证书。
不涉及
国密标准SSL证书(SM2)
不区分
PEM
国密算法证书通常为PEM格式,不同服务器下载后的文件相同。解压后的文件说明如下:
签名证书和私钥:domain name_sm2_sign.pem 和 domain name_sm2_sign.key。
加密证书和私钥:domain name_sm2_enc.pem 和 domain name_sm2_enc.key。
后续步骤
下载SSL证书至本地后,需要在Web应用服务器上手动配置该SSL证书,请参见手工部署证书。