您在使用CLB的过程中如果遇到证书相关的问题,您可参考本文进行定位及处理。
创建证书时出现“参数非法”报错
问题现象
在证书管理页面创建证书时,选择上传非阿里云签发证书,单击创建后出现报错:参数非法。
问题原因
可能有以下两个方面的原因:
-
输入的公钥内容错误。
-
系统不支持您的证书使用的编码格式。
解决方案
-
对于公钥内容错误,需要将证书上传到Linux服务器,运行以下命令进行内容自检:
openssl x509 -noout -text -in myprivate.pem-
当公钥内容错误时,命令输出报错信息,例如
bad base64 decode错误,请提供内容正确的公钥。示例如下:[root@iZxxx ~]# openssl x509 -noout -text -in /root/zxxx.pem unable to load certificate 139903831541648:error:0906D064:PEM_routines:PEM_read_bio:bad base64 decode:pem_lib.c:829: -
当命令输出类似以下结果时,表示公钥的内容正确。
[root@iZbxxxZ ~]# openssl x509 -noout -text -in /root/zxxxw.pem Certificate: Data: Version: 3 (0x2) Serial Number: 09:0xxx7b:d7:ef Signature Algorithm: shaxxxryption Issuer: C=US, O=DigiCert Inc, OU=www.digxxxcom, CN=Encxxx xxxV TLS CA - G1 Validity
-
-
对于编码格式错误,您需要提供一份标准的编码格式,阿里云系统支持RFC4648的BASE64证书编码格式。
创建证书时出现“参数ServerCertificate的格式不正确,请修改格式后重试”报错
问题现象
在证书管理页面创建证书时,选择上传非阿里云签发证书,单击创建后出现报错:参数ServerCertificate的格式不正确,请修改格式后重试。
问题原因
私钥的内容错误。
解决方案
将证书上传到Linux服务器,运行以下命令进行内容自检:
openssl rsa -in myprivate.key -check-
当出现以下报错时,表示私钥的内容错误,请提供内容正确的私钥。
[root@izlxxx Z ~]# openssl rsa -in /root/zlxxx key -check unable to load Private Key 140326021413632:error:0906D064:PEM routines:PEM_read_bio:bad base64 decode:pem_lib.c:829: -
当出现以下结果时,表示私钥内容正确。
[root@iZbpxxxxxxx4Z ~]# openssl rsa -in /root/zhxxxw.key -check RSA key ok writing RSA key -----BEGIN RSA PRIVATE KEY----- MIIEpAIxxxPJR4Jjq/Zw AkGskM4xxxwN67MiEliC Vjo25RixxxK3tretqQ69 OYxT2WUxvTR7NI6nCnMoKvk88aZHS/xxv9C0BoYU6v/OIkJ0bV5IeTRT9sOkUgH0 ... -----END RSA PRIVATE KEY-----
创建证书时出现“证书内容缺少证书链”报错
问题现象
在证书管理页面创建证书时,选择上传非阿里云签发证书,单击创建后出现报错:证书内容缺少证书链。上传证书时系统弹出确认对话框,提示证书内容缺少证书链。正确的证书链格式为:第一段以 -----BEGIN CERTIFICATE----- 开头、-----END CERTIFICATE----- 结尾,中间填写服务器公钥证书(BASE64编码);第二段格式相同,填写中级签发机构公钥证书(BASE64编码)。两段证书拼接时中间不可有空行。
问题原因
您从证书服务商获取的证书文件中通常包含您自己的证书和中级签发机构的证书,通常称为证书链,上传证书时,需要确保上传完整的证书链。
解决方案
请联系证书颁发机构确认证书链是否完整。
输入私钥后出现“私钥内容格式不正确”报错
问题现象
在证书管理页面创建证书时,选择上传非阿里云签发证书,输入私钥内容后出现报错:私钥内容格式不正确。
报错详情提示私钥需以-----BEGIN RSA PRIVATE KEY-----开头,以-----END RSA PRIVATE KEY-----结尾,且要求兼容NGINX格式。
问题原因
可能是因为RSA私钥证书格式错误,RSA私钥需以-----BEGIN RSA PRIVATE KEY-----开头,以 -----END RSA PRIVATE KEY-----结尾。
解决方案
当RSA私钥证书格式错误时,需要将证书上传到Linux服务器,运行以下命令转换格式:
openssl rsa -in old_server_key.pem -out new_server_key.pem在部分高版本openssl中,openssl rsa默认输出PKCS#8,这将导致转换失败。请使用openssl rsa -in old_server_key.pem -out new_server_key.pem -traditional进行转换。
输入公钥后出现“证书内容格式不正确”报错
问题现象
在证书管理页面创建证书时,选择上传非阿里云签发证书,输入公钥内容后出现报错:证书内容格式不正确。在SSL证书公钥上传界面粘贴证书内容后,单击上传,页面底部出现红色错误提示:证书内容格式不正确,证书内容必须以-----BEGIN CERTIFICATE-----开头、以-----END CERTIFICATE-----结尾。
问题原因
输入的公钥内容格式不正确,必须以-----BEGIN CERTIFICATE-----开头,以-----END CERTIFICATE-----结尾。
解决方案
请联系证书颁发机构确认证书是否正确。
配置HTTPS监听时,选择服务器证书后出现“证书不存在”报错
问题现象
配置HTTPS监听时,在SSL证书配置向导,选择已创建的服务器证书时出现报错:证书不存在。
问题原因
如果用户创建的CLB实例配置HTTPS监听时的账号是公有云账号,但是创建证书的账号是金融云账号,则可能导致上传证书后无法识别证书。
解决方案
请确保创建CLB实例的账号与上传的证书账号相同。
使用 UploadServerCertificate 接口上传证书报错 500(The request processing has failed due to some unknown error, exception or failure.)
该报错通常由 AliCloudCertificateRegionId 地域参数填写不当引起。调用该接口时需填写阿里云SSL证书签发地域,而非 CLB 实例所在地域。目前中国内地证书签发地域固定为 cn-hangzhou,境外地域固定为 ap-southeast-1。