證書(shū)格式說(shuō)明

您需要配置HTTPS證書(shū)，才能使用HTTPS方式訪(fǎng)問(wèn)資源，實(shí)現HTTPS安全加速。本文檔介紹了億速云CDN支持的證書(shū)格式和不同證書(shū)格式的轉換方式。

Root CA機構頒發(fā)的證書(shū)

Root CA機構提供的證書(shū)是唯一的，一般包括Apache、IIS、Nginx和Tomcat。阿里云全站加速使用的證書(shū)是Nginx，證書(shū)格式為.crt，證書(shū)私鑰格式為.key。

證書(shū)上傳規則為：
請將開(kāi)頭——-BEGIN CERTIFICATE——-和結尾 ——-END CERTIFICATE——-一并上傳。
每行64字符，最后一行不超過(guò)64字符。
在Linux環(huán)境下，PEM格式的證書(shū)示例如下圖。

中級機構頒發(fā)的證書(shū)

中級機構頒發(fā)的證書(shū)文件包含多份證書(shū)，您需要將服務(wù)器證書(shū)與中間證書(shū)拼接后，一起上傳。

說(shuō)明 拼接規則為：服務(wù)器證書(shū)放第一份，中間證書(shū)放第二份。一般情況下，機構在頒發(fā)證書(shū)的時(shí)候會(huì )有對應說(shuō)明， 請注意規則說(shuō)明。
中級機構頒發(fā)的證書(shū)鏈：

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

證書(shū)鏈規則：

證書(shū)之間不能有空行。
每一份證書(shū)遵守第一點(diǎn)關(guān)于證書(shū)的格式說(shuō)明。

RSA私鑰格式要求

RSA私鑰規則：

本地生成私鑰：openssl genrsa -out privateKey.pem 2048。其中，privateKey.pem為您的私鑰文件。
以——-BEGIN RSA PRIVATE KEY——-開(kāi)頭，以——-END RSA PRIVATE KEY——- 結尾，請將這些內容一并上傳。
每行64字符，最后一行長(cháng)度可以不足64字符。

如果您并未按照上述方案生成私鑰，得到如——-BEGIN PRIVATE KEY——-或——-END PRIVATE KEY——-這種樣式的私鑰時(shí)，您可以按照如下方式轉換：
openssl rsa -in old_server_key.pem -out new_server_key.pem
然后將new_server_key.pem的內容與證書(shū)一起上傳。

證書(shū)格式轉換方式

HTTPS配置只支持PEM格式的證書(shū)，其他格式的證書(shū)需要轉換成PEM格式，建議通過(guò)openssl工具進(jìn)行轉換。下面是幾種比較流行的證書(shū)格式轉換為PEM格式的方法。

DER轉換為PEM
DER格式一般出現在Java平臺中。
證書(shū)轉化：
openssl x509 -inform der -in certificate.cer -out certificate.pem
私鑰轉化：
openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
P7B轉換為PEM
P7B格式一般出現在Windows Server和Tomcat中。
證書(shū)轉化：
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
獲取outcertificat.cer里面——-BEGIN CERTIFICATE——-， ——-END CERTIFICATE——-的內容作為證書(shū)上傳。

私鑰轉化：P7B證書(shū)無(wú)私鑰，您只需在CDN控制臺填寫(xiě)證書(shū)部分，私鑰無(wú)需填寫(xiě)。
PFX轉換為PEM
PFX格式一般出現在Windows Server中。
證書(shū)轉化：
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
私鑰轉化：
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes