管理来自不同服务商或内部CA的SSL证书,并在多个云账号间复用,流程繁琐且易出错。数字证书管理服务支持上传第三方证书、同步私有CA(PCA)证书,并能在同一实名认证主体下的不同阿里云账号间共享证书,帮助实现SSL证书的统一管理、便捷部署和安全共享,简化管理流程,提升运维效率。
统一管理不同来源的证书
阿里云数字证书管理服务可以管理多种来源的SSL证书:从本地上传、从私有证书颁发机构(PCA)服务同步,以及从其他阿里云主账号共享。
证书来源:
本地上传证书:从阿里云下载的证书,或从任何第三方服务商获取的证书,上传后可进行统一管理和部署。
PCA同步证书:从阿里云私有证书颁发机构(PCA)服务批量同步的证书,适用于企业内部证书管理。
共享证书:从统一实名认证主体下的其他阿里云主账号共享而来的证书,适用于多账号下的证书安全共享。
核心功能:
统一管理:在控制台集中监控所有证书的状态、有效期和部署情况。
云产品部署:将托管的证书一键部署到负载均衡SLB、CDN、WAF等多种阿里云产品。
说明本地上传证书、PCA同步证书和共享证书仅支持通过控制台部署至云产品、ECS和轻量应用服务器。如需手动部署SSL证书至Web应用服务器,请使用阿里云签发证书。
上传本地证书
将从阿里云下载的证书,或第三方服务商获取的证书上传至数字证书管理服务,以便在阿里云上进行统一管理和部署。
步骤一:准备并验证证书文件
在上传前,需确保证书文件格式正确、内容完整且与私钥匹配。
确认证书格式
说明数字证书管理服务仅支持上传PEM格式编码(
.pem和.crt后缀)的证书文件。非PEM格式编码的证书文件,需要先将证书文件转为PEM编码后上传。数字证书管理服务提供了SSL证书格式转换工具,可以使用该工具将PFX、JKS、PKCS8格式的证书转换为PEM格式。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在证书格式转换页面,按照页面指引进行配置,单击提交。
验证证书与私钥匹配(可选)
说明仅当无法确认证书文件和私钥文件是否匹配时,才需要关注此步骤。确认匹配时,可直接跳过。
确保证书公钥与私钥是配对的,否则将导致上传失败或部署后无法使用。
RSA 证书
# 比较证书和私钥的模数(modulus)的MD5值,两者必须完全一致 openssl x509 -noout -modulus -in certificate.pem | openssl md5 openssl rsa -noout -modulus -in private.key | openssl md5ECC 证书
# 比较从证书和私钥中提取的公钥的MD5值,两者必须完全一致 openssl x509 -in certificate.pem -pubkey -noout | openssl pkey -pubin -pubout -outform der | openssl md5 openssl pkey -in private.key -pubout -outform der | openssl md5国密 SM2 证书
国密证书包含签名和加密两对密钥,需分别验证。
# 验证签名证书与签名私钥 openssl x509 -in sign_cert.pem -pubkey -noout | openssl md5 openssl pkey -in sign_private.key -pubout | openssl md5 # 验证加密证书与加密私钥 openssl x509 -in enc_cert.pem -pubkey -noout | openssl md5 openssl pkey -in enc_private.key -pubout | openssl md5如果验证不匹配,常见原因为私钥文件带有密码。可使用
openssl rsa -in encrypted.key -out decrypted.key命令移除密码后重试。
步骤二:在控制台上传证书
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在上传证书页签,单击上传证书。
在上传证书面板,完成参数配置,单击确定。
国际标准
参数
说明
证书标准
选择国际标准,适用于RSA、ECC等算法。
证书名称
填写一个易于识别的名称,例如
example.com-2024-rsa。证书文件
填写证书文件内容(PEM编码)。
上传文件解析(推荐)
单击上传文件解析,并选择存储在本地计算机的证书文件,文件内容将会自动解析至文本框。
手动填写
使用文本编辑工具打开PEM/CRT格式的证书文件,复制其中的内容并粘贴到该文本框。
如果仅需确保服务端证书可信,则证书文件需要包含服务器证书(①)和中间证书(②)。如果中间证书和服务器证书是两个文件,在证书链配置项填写中间证书内容即可。
如果需确保客户端和服务端证书可信,则证书文件应该包含服务器证书(①)、中间证书(②)和根证书(③)。如果中间证书、根证书和服务器证书是三个文件,需要按照图示顺序拼接中间证书和根证书,并在证书链配置项填写即可。
证书私钥
填写证书私钥内容(PEM编码)。
上传文件解析(推荐)
单击上传文件解析,并选择存储在本地计算机的证书私钥文件,文件内容将会自动解析至文本框。
手动填写
使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。私钥内容填写格式:
RSA
ECC
选择已有的CSR
支持选择通过数字证书管理控制台创建或上传的CSR,且系统会自动匹配对应证书文件的CSR。CSR相关操作和说明,请参见手动创建或上传CSR。
说明如果上传证书相关文件后提示“证书与私钥不匹配”,可能是因为私钥文件格式不正确或受密码保护。可以使用
openssl rsa -in <原私钥文件名> -out <自定义现私钥文件名>命令将其转换后再进行上传。证书链
可选。填写中间证书或根证书(PEM编码)。
说明如果已填写完整证书链,该配置项可直接跳过。
上传文件解析(推荐)
单击上传文件解析,并选择存储在本地计算机的证书链文件,文件内容将会自动解析至文本框。
手动填写
使用文本编辑工具打开PEM或者CRT格式的证书链文件,复制其中的内容并粘贴到该文本框。证书链内容填写格式:
中间证书或根证书
中间证书(①)和根证书(②)
资源组
可选。根据资源管理策略进行配置。
标签键、标签值
可选。根据资源管理策略进行配置。
国密(SM2)标准
参数
说明
证书标准
此处选择国密(SM2)标准。
证书名称
填写一个易于识别的名称,例如
example.com-2024-sm2。证书文件
填写签名证书文件内容(PEM编码)。
单击该文本框下的上传文件解析,选择本地签名证书文件上传后解析至文本框。或直接打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框。
证书私钥
填写签名证书私钥内容(PEM编码)。
单击该文本框下的上传文件解析,选择本地签名证书私钥上传后解析至文本框。或直接打开KEY格式的签名证书私钥文件,复制其中的内容并粘贴到该文本框。
加密证书
填写加密证书文件内容(PEM编码)。
单击该文本框下的上传文件解析,选择本地加密证书文件上传后解析至文本框。或直接打开PEM或者CRT格式的证书文件,复制其中的内容并粘贴到该文本框。
加密私钥
填写加密证书私钥内容(PEM编码)。
单击该文本框下的上传文件解析,选择本地加密证书私钥上传后解析至文本框。或直接打开KEY格式的签名证书私钥文件,复制其中的内容并粘贴到该文本框。
资源组
可选。根据资源管理策略进行配置。
标签键、标签值
可选。根据资源管理策略进行配置。
步骤三:验证上传结果
上传成功后,证书会出现在上传证书列表中。如需移除,可在操作列单击删除。
删除操作不可恢复,仅从列表移除,不会影响已部署的证书。
PCA证书批量同步到SSL证书
如果使用阿里云私有证书颁发机构(PCA)签发证书,可将其批量同步至SSL证书管理,无需手动上传。
步骤一:在控制台同步证书
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
选择私有CA页签,在列表中展开目标根CA,在子CA的操作栏,单击证书列表。
勾选证书列表中的证书后,单击批量同步到SSL证书,在弹出提示框中单击确定,等待同步结束,状态一栏显示为上传成功即可。
步骤二:验证同步结果
同步成功后,可前往页签,在列表中查看已上传的PCA证书。
共享SSL证书至其他阿里云账号
在阿里云购买的证书,可免费共享给同一实名认证主体下的其他阿里云账号,以实现证书复用和统一结算。
步骤一:确认共享限制条件
实名认证一致:共享双方的阿里云账号必须属于同一个实名认证主体。
证书来源:仅限在阿里云购买并签发的证书,不支持上传或同步的证书。
共享限制:证书只能共享一次。即A账号共享给B账号后,B账号不能再将此证书共享给C账号。
步骤二:在控制台共享证书
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在正式证书或个人测试证书(原免费证书)页签,定位到已签发且需要共享的证书,在操作列,单击更多。
在分享证书页签中的账号ID输入框,输入要共享的阿里云账号ID,单击确认分享。
步骤三:验证共享结果
共享成功后,使用被共享的阿里云账号登录数字证书管理服务控制台,可在SSL证书管理页面的上传证书页签查看被共享的证书(在状态列显示
图标)。
共享的证书无法下载或再次分享给其他阿里云账号。
更多操作
管理待处理事项
查看待处理事项
切换至上传证书页签时,如果在已上传的证书中检测到存在未开启到期提醒、剩余额度/所需额度、未部署云产品和待续费等事项,控制台将会弹出待处理事项弹窗,提醒处理相关事项。
可通过,再次唤起待处理事项弹窗。
如果暂时不需要处理以上待办事项,可以勾选7天内不再提醒后关闭,以减少相应的提醒频率。
管理待处理事项
弹窗会展示相应事项的具体待处理数量和可执行操作,可进行以下操作:
证书未开启消息提醒
剩余额度/所需额度:显示当前的消息提醒资源数信息。额度不足时,单击购买,前往购买消息提醒资源。
一键提醒:筛选并选中证书列表中状态为证书未开启消息提醒的证书,单击列表下方的消息提醒按钮,开启消息提醒。
说明开启消息提醒,将消耗对应数量的消息提醒资源额度,如果当前额度不足,需要购买消息提醒资源。
未部署云产品
前往部署:系统将引导创建云产品部署任务,将证书部署至对应的云产品。更多云产品部署操作,请参见部署证书至阿里云的云产品(不含ECS和轻量应用服务器) — 云产品部署。
证书待续费
一键续费:筛选并选中证书列表中状态为证书待续费的证书,点击对应证书操作列的更新证书,完成后续的续费操作。
查看证书风险提示
如果上传的私有CA证书有效期过长(超过1年),系统将会在对应证书的有效期限一栏提示相应的泄露风险。可将鼠标悬停在有泄露风险标签上,根据弹出提示处理。
建议在签发私有CA证书时,有效期设置不要超过1年,以减少密钥泄露风险。
最佳实践
命名规范:为证书设置包含域名、年份和算法的名称,如
example.com-2024-rsa2048,便于识别和审计。标签管理:为证书添加项目、环境(生产/测试)等标签,实现分类管理和成本分摊。
有效期管理:建议私有CA签发的证书有效期不超过1年,以降低密钥泄露风险。开启证书到期提醒,并提前30天规划续期。
常见问题
上传时提示"证书与私钥不匹配"怎么办?
该错误表示提供的证书公钥与私钥文件并非一对。请按以下步骤排查:
确认文件正确性:检查是否选错了文件,例如将A域名的证书与B域名的私钥一起上传。
执行匹配验证:使用验证证书与私钥匹配中的
openssl命令,严格验证证书和私钥的模数(modulus)或公钥指纹是否一致。检查私钥密码:如果私钥文件被密码保护,会导致平台无法读取。请使用命令
openssl rsa -in encrypted.key -out decrypted.key移除密码后重试。
上传证书失败,提示"证书格式不正确"是什么原因?
平台仅支持上传PEM编码格式的证书文件。
如果证书是PFX、P12等其他格式,请参考确认证书格式中的转换操作,将其转换为PEM格式后再上传。确保复制的内容包含完整的-----BEGIN...-----和-----END...-----标记。
共享证书时失败是什么原因?
请检查以下常见原因:
实名认证不一致:共享双方的账号必须属于同一个个人或企业主体。
证书来源不支持:只有在阿里云购买的证书才能共享。本地上传或从PCA同步的证书不支持此功能。
跨站点共享:中国站和国际站的账号之间无法互相共享证书。