IBM Cloud Docs
管理源证书

管理源证书

起源证书是由 IBM Cloud® Internet Services 签发的 TLS 证书,用于保护 CIS 边缘和您的起源服务器之间的流量。 订购免费 TLS 证书以在源服务器上安装。

原产地证书示意图
原产地证书示意图

CIS 原产地证书只能在 上使用。CIS

订购源证书

要订购原始证书,请提供证书签名请求(CSR)或选择私钥类型,以便 CIS 生成密钥和 CSR。

在证书保护的源上指定最多 100 个主机名(包括通配符)。 通配符只提供一个级别的覆盖。 将同一证书上的多个通配符用于更广泛的覆盖范围 (例如,*.yourdomain.com*.yoursubdomain.yourdomain.com)。CIS 源证书不允许 IP 地址。

指定到期时间。 缺省证书到期时间为 15 年; 最短到期时间为 7 天。

如果私钥和 CSR 由 CIS 生成,则只有在订购证书后才能获得私钥。

要使用 API 获取原产地证书,请参阅获取 现有原产地证书

在服务器上安装源证书

Apache httpd

  1. 订购源证书。

  2. 将 PEM 格式的私人密钥和原始证书分别拷贝到服务器上存放密钥和证书文件的目录中。

  3. 查找 Apache 配置文件。 通常,文件名是 httpd.confapache2.conf,位置是 /etc/httpd//etc/apache2/。 不过,您的配置文件可能会有所不同,特别是在您使用特殊界面管理服务器的情况下。 请参见 Apache 的 DistrosDefaultLayout 默认安装布局的完整列表。 命令以下命令是在 Linux 上搜索 SSL 配置文件的一种方法。

    grep -i -r "SSLCertificateFile" /etc/httpd/

  4. 找到要配置的 <VirtualHost> 块。 可选择复制网站现有的非安全虚拟主机,以便通过 HTTP 和 HTTPS 使用,因为每种类型的连接都需要虚拟主机。

  5. 为 SSL 配置 <VirtualHost> 块。 以下示例表示 SSL 的简单配置。 将文件名用于证书和专用密钥。SSLCertificateFile 是源 CA 证书文件名,SSLCertificateKeyFile 是源 CA 专用密钥文件名。

    <VirtualHost 192.168.0.1:443>
  DocumentRoot             /var/www/html2
  ServerName               www.mydomain.com
  SSLEngine                on
  SSLCertificateFile       /path/to/your_domain_name.crt
  SSLCertificateKeyFile    /path/to/your_private.key
</VirtualHost>

  6. 测试配置。 在重新启动 Apache之前,请验证配置文件是否没有错误。 运行以下命令来测试配置。

    apachectl configtest

  7. 重新启动 Apache。 运行以下命令以使用 SSL 支持来重新启动 Apache。

    apachectl stop
apachectl start

如果使用 apache start 无法装入 SSL 支持,请运行命令 apachectl startssl。 如果 Apache 通过使用 apachectl startssl 启动时仅支持 SSL,则应调整 Apache 启动配置,在 apachectl start 命令中加入 SSL 支持。 否则,如果服务器重启,可能需要使用 apachectl startssl 手动重启 Apache。 这种重启通常涉及删除封装配置的 <IfDefine SSL></IfDefine SSL> 标记。

NGINX

  1. 订购源证书。

  2. 将私钥和原始证书以 PEM 格式分别拷贝到服务器上存放密钥和证书文件的目录中。

  3. 更新 NGINX 虚拟主机文件。 编辑 Web 站点的 NGINX 虚拟主机文件。 以下示例表示 SSL 支持的服务器块。 在服务器块中的监听套接字上启用 ssl 参数,以便通过 HTTP 和 HTTPS 访问网站。

    server {
  listen    80;
  listen    443;

  ssl       on;
  ssl_certificate         /path/to/your_certificate.pem;
  ssl_certificate_key     /path/to/your_private.key;
  location / {
    root    /home/www/public_html/yourdomain.com/public/;
    index   index.html;
  }
}

  4. 重新启动 NGINX。 运行以下某个命令以重新启动 NGINX。

    sudo /etc/init.d/nginx restart
sudo systemctl restart nginx

Apache Tomcat

  1. 订购源证书。

  2. 将 PKCS #7 格式的私人密钥和原始证书 (cert.p7b) 复制到服务器上存放密钥和证书文件的目录中的不同文件。

    必须将 SSL 证书文件安装到与生成 CSR 所用的相同密钥存储和别名(或 "服务器")下。 如果 SSL 证书文件安装在不同的密钥存储中,下一步的安装将不起作用。

  3. 安装证书。 运行以下命令以将 SSL 证书文件安装到密钥库。

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks

    出现一条确认信息:“证书回复已安装到密钥库”。 如果系统要求信任该证书,请输入 yyes。 您的密钥存储文件 ( your_site_name.jks ) 现在可以在 Tomcat 服务器上使用了。

  4. 配置 SSL 连接器。 为 Tomcat 配置 SSL 连接器,使其能够接受安全连接。

    1. 在文本编辑器中打开 Tomcat server.xml 文件。 server.xml 文件通常位于 Tomcat 主目录的 conf 文件夹中。
    2. 确定要用于保护新密钥库的连接器。 通常使用端口为 443 或 8443 的连接器。
    3. 删除连接器周围可能存在的任何注释标记。
    4. 更新连接器配置中的正确密钥库文件名和密码。

    以下示例表示配置的 SSL 连接器块。

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
disableUploadTimeout="true" acceptCount="100" scheme="https"
secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
keystorePass="your_keystore_password" />

    如果您的 Tomcat 版本早于 Tomcat 7,请将 keystorePass 更改为 keypass

  5. 保存 server.xml 文件。

  6. 重新启动 Tomcat。

Microsoft Internet Information Services (IIS) 7.0

  1. 在 IIS 管理器中创建 CSR 并导出为 .pem。 IIS 管理器位于管理工具下。

  2. 使用您的 CSR 订购 CIS 起源证书。

  3. 将源证书复制到服务器的桌面。

  4. 打开 IIS 管理器并选择连接下的服务器主机名。

  5. 从中心菜单中的 IIS 部分中选择服务器证书

  6. 从“操作”菜单中选择操作完成证书请求。 在包含认证中心响应的文件名下的指定认证中心响应页面上,单击 ... 以浏览至复制到桌面的 .cer 证书文件,选择该文件,然后单击打开

  7. 输入证书的友好名称。 友好名称用于标识证书。

  8. 选择确定以完成服务器的证书安装。

  9. 将证书绑定到 Web 站点。 通过展开 IIS 管理器中连接下的菜单中服务器名称下的站点,选择 Web 站点。 从“操作”菜单中的编辑站点下选择绑定。 从“站点绑定”窗口中选择添加,然后提交以下信息。

    Type              https
IP Address        All Unassigned
Port              443
SSL Certificate   your_cert_friendly_name

  10. 您的 Web 站点现已配置为接受安全连接。

Microsoft Internet Information Services (IIS) 8.0 和 8.5

  1. 在 IIS 管理器中创建 CSR 并导出为 .pem。 IIS 管理器位于管理工具下。

  2. 使用您的 CSR 订购 CIS 起源证书。

  3. 将源证书复制到服务器的桌面。

  4. 打开 IIS 管理器并选择连接下的服务器主机名。

  5. 从中心菜单中的 IIS 部分中选择服务器证书

  6. 从“操作”菜单中选择操作完成证书请求。 在包含认证中心响应的文件名下的指定认证中心响应页面上,单击 ... 以浏览至复制到桌面的 .cer 证书文件,选择该文件,然后单击打开

  7. 为证书输入一个友好的名称,用于标识证书。

  8. 选择确定以完成服务器的证书安装。

  9. 将证书绑定到 Web 站点。 通过展开 IIS 管理器中连接下的菜单中服务器名称下的站点,选择 Web 站点。 从“操作”菜单中的编辑站点下选择绑定。 从“站点绑定”窗口中选择添加,然后提交以下信息。

    Type              https
IP Address        All Unassigned
Port              443
SSL Certificate   your_cert_friendly_name

  10. 如果有多个网站使用绑定到同一 IP 地址的 SSL,还可选择配置 SSL 证书以使用服务器名称指示 (SNI)。 选择需要服务器名称指示框。

  11. 您的 Web 站点现已配置为接受安全连接。

证书链

在某些情况下,源网络服务器会要求您上传证书链。 使用这些链接可下载 ECCRSA 版本,然后将证书链上载到源 Web 服务器。

撤销源证书

删除 CIS 起源证书。 此过程无法撤销。

要使用 API 撤销原产地证书,请参阅撤销 已创建的原产地证书