本文介绍如何将本地SSL证书(国际标准或国密证书)上传至数字证书管理服务控制台进行管理,以及如何在不同的阿里云账号之间免费共享SSL证书。
上传SSL证书
如果您使用的是第三方服务商签发的国际标准或国密(SM2)标准的SSL证书,并且希望通过数字证书管理服务统一管理该证书,您可以将SSL证书上传至数字证书管理服务控制台进行管理。
在上传SSL证书前,请您准备以下文件:
为了更好地保护您的证书数据安全,您已上传到数字证书管理服务控制台的证书不支持下载。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在上传证书页签,单击上传证书。
在上传证书面板,完成参数配置,单击确定。
证书标准为国际标准和国密(SM2)标准时需要配置不同的参数,您可以参考以下表格进行配置。
国际标准
参数
说明
证书标准
此处选择国际标准。国际标准算法指经过广泛审查、测试,并被国际标准化组织(ISO)、国际电工委员会(IEC)等认可的加密算法,例如RSA、ECC算法。
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
证书文件
填写证书文件内容(PEM编码)。
证书文件内容填写格式:
如果您的业务场景仅需确保服务端证书可信,则证书文件需要包含服务器证书(①)和中间证书(②)。如果您的中间证书和服务器证书是两个文件,您可以在证书链配置项填写中间证书内容即可。
如果您的业务场景需确保客户端和服务端证书可信,则证书文件应该包含服务器证书(①)、中间证书(②)和根证书(③)。如果您的中间证书、根证书和服务器证书是三个文件,您需要按照图示顺序拼接中间证书和根证书,并在证书链配置项填写即可。
填写方式:
手动填写:使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框。
上传文件解析(推荐):单击上传文件解析,并选择存储在本地计算机的证书文件,文件内容将会自动解析至文本框。
证书私钥
填写证书私钥内容(PEM编码)。
私钥内容填写格式:
RSA
ECC
填写方式:
手动填写:使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
上传文件解析:单击上传文件解析,并选择存储在本地计算机的证书私钥文件,文件内容将会自动解析至文本框。
选择已有的CSR:支持选择通过数字证书管理控制台创建或上传的CSR,且系统会自动匹配对应证书文件的CSR。CSR相关操作和说明,请参见手动创建或上传CSR。
说明如果您在上传证书相关文件后收到证书与私钥不匹配的提示,可能是因为您的私钥文件包含了RSA字符。您可以使用
openssl rsa -in <原私钥文件名> -out <自定义现私钥文件名>
命令将其转换后再进行上传。证书链
可选。填写中间证书或根证书(PEM编码)。如果您的证书文件中包含完整证书链,该配置项可不用填写。
证书链内容填写格式:
中间证书或根证书
中间证书(①)和根证书(②)
填写方式:
手动填写:使用文本编辑工具打开PEM或者CRT格式的证书链文件,复制其中的内容并粘贴到该文本框。
上传文件解析(推荐):单击上传文件解析,并选择存储在本地计算机的证书链文件,文件内容将会自动解析至文本框。
资源组
可选。选择关联的资源组。
标签键、标签值
可选。设置自定义标签。
国密(SM2)标准
参数
说明
证书标准
此处选择国密(SM2)标准。该标准是中国密码局认定的国产密码算法,目前数字证书管理服务支持SM2非对称算法。
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、数字、下划线(_)和短划线(-)。
证书文件
填写签名证书文件内容(PEM编码)。
您可以使用文本编辑工具打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的签名证书文件,将文件内容上传到文本框。
证书私钥
填写签名证书私钥内容(PEM编码)。
您可以使用文本编辑工具打开KEY格式的签名证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的签名证书私钥文件,将文件内容上传到文本框。
加密证书
填写加密证书文件内容(PEM编码)。
您可以使用文本编辑工具打开PEM或者CRT格式的加密证书文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的加密证书文件,将文件内容上传到文本框。
加密私钥
填写加密证书私钥内容(PEM编码)。
您可以使用文本编辑工具打开KEY格式的加密证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析,并选择存储在本地计算机的加密证书私钥文件,将文件内容上传到文本框。
资源组
可选。选择关联的资源组。
标签键、标签值
可选。设置自定义标签。
成功上传证书后,您可以在证书列表中查看已上传的证书。如果无需在数字证书管理服务控制台管理已上传的证书时,您可以在该证书操作列,单击删除,删除该证书。
重要删除操作仅将证书从已上传证书列表中移除,不会影响证书的有效期。证书删除后无法恢复,建议您谨慎操作。
共享SSL证书
如果您拥有多个阿里云账号(主账号),并且这些账号归属于同一个经过实名认证的个人或企业用户,您可以在不同的阿里云账号之间共享证书,共享后的证书可以免费部署到阿里云云产品上。
共享限制
以下场景,不能共享SSL证书:
在中国站阿里云账号中申请的证书不能共享到国际站的阿里云账号,同时您在国际站阿里云账号中申请的证书不能共享到中国站的阿里云账号。
当前阿里云账号下的共享证书不能再次被共享给其他阿里云账号。例如,您拥有a、b、c三个不同的阿里云账号,当您将a账号中的证书共享给b账号后,不能再通过b账号将该证书共享给c账号。
通过本地上传的证书不支持共享。
操作步骤
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在正式证书或个人测试证书(原免费证书)页签,定位到已签发且需要共享的证书,在操作列,单击更多。
在分享证书页签中的账号ID输入框,输入要共享的阿里云账号ID,单击确认分享。
完成证书共享后,您可以通过共享的阿里云账号登录数字证书管理服务控制台,在SSL证书管理页面的上传证书页签查看被共享的证书(在状态列显示
图标)。
上传证书待处理事项
待办事项提醒弹窗
在您切换至上传证书页签时,如果在已上传的证书中检测到存在证书未开启消息提醒、证书待续费等事项,控制台将会弹出上传证书待处理事项弹窗,提醒您处理相关事项。
处理待办事项
弹窗会展示相应事项的具体待办数量和可执行操作,您可进行以下操作:
证书未开启消息提醒
查看:证书列表将会筛选并选中证书未开启消息提醒状态的证书,您可以单击列表下方的消息提醒按钮,开启消息提醒。
一键提醒:证书列表会筛选并选中证书未开启消息提醒状态的证书,您可以单击列表下方的消息提醒按钮,开启消息提醒。
说明开启消息提醒,将消耗对应数量的消息提醒资源额度,如果当前额度不足,您需要购买消息提醒资源。
证书待续费
查看:证书列表将会筛选出证书待续费状态的证书,您可点击对应证书操作列的更新证书,完成后续的续费操作。
更新证书:证书列表将会筛选出证书待续费状态的证书,您可点击对应证书操作列的更新证书,完成后续的续费操作。
弹窗频率控制
如果您暂时不需要处理以上待办事项,可以勾选7天内不再提醒后关闭,以减少相应的提醒频率。
主动查看待办
您可通过
,再次唤起上传证书待处理事项弹窗。上传证书风险提示
如果您上传的私有CA证书有效期过长(超过1年),系统将会在对应证书的有效期限一栏提示您相应的泄露风险。您可将鼠标悬停在有泄露风险标签上,根据弹出提示处理。
建议您在签发私有CA证书时,有效期设置不要超过1年,以减少密钥泄露风险。
相关文档
上传证书托管说明,请参见开启证书托管。