IBM Cloud Docs
管理源证书

管理源证书

源证书是由 IBM Cloud® Internet Services 颁发的免费TLS证书,用于加密源服务器与用户之间的流量。 订购免费 TLS 证书以在源服务器上安装。

CIS 原产地证书仅适用于。CIS

订购源证书

要订购原产地证书,请提供证书签名请求(CSR),或为 CIS 选择私钥类型,以生成密钥和CSR。

在证书保护的源上指定最多 100 个主机名(包括通配符)。 通配符仅提供一个级别的覆盖。 将同一证书上的多个通配符用于更广泛的覆盖范围 (例如,*.yourdomain.com*.yoursubdomain.yourdomain.com)。CIS 源证书不允许 IP 地址。

指定到期时间。 缺省证书到期时间为 15 年; 最短到期时间为 7 天。

只有在您订购证书后,私钥才会立即可用,前提是私钥和CSR由 CIS 生成。

在服务器上安装源证书

Apache httpd

  1. 订购源证书。

  2. 将 PEM 格式的私钥和源证书复制到单独的文件中,并保存在服务器上保存密钥和证书文件的目录中。

  3. 查找 Apache 配置文件。 通常,文件名是 httpd.confapache2.conf,位置是 /etc/httpd//etc/apache2/。 但是,您的配置文件可能有所不同,特别是如果您使用特殊界面来管理服务器。 请参考 Apache 的 DistrosDefaultLayout 默认安装布局的完整列表。 命令以下命令是在 Linux 上搜索 SSL 配置文件的一种方法。

    grep -i -r "SSLCertificateFile" /etc/httpd/

  4. 找到要配置的 <VirtualHost> 块。 您可以选择复制您网站现有的非安全虚拟主机,以便通过 HTTP 和 HTTPS 访问,因为每种连接类型都需要一个虚拟主机。

  5. 配置SSL的 <VirtualHost> 块。 以下示例表示 SSL 的简单配置。 将文件名用于证书和专用密钥。SSLCertificateFile 是源 CA 证书文件名,SSLCertificateKeyFile 是源 CA 专用密钥文件名。

    <VirtualHost 192.168.0.1:443>
  DocumentRoot             /var/www/html2
  ServerName               www.mydomain.com
  SSLEngine                on
  SSLCertificateFile       /path/to/your_domain_name.crt
  SSLCertificateKeyFile    /path/to/your_private.key
</VirtualHost>

  6. 测试配置。 在重新启动 Apache之前,请验证配置文件是否没有错误。 运行以下命令来测试配置。

    apachectl configtest

  7. 重新启动 Apache。 运行以下命令以使用 SSL 支持来重新启动 Apache。

    apachectl stop
apachectl start

如果使用 apache start 无法装入 SSL 支持,请运行命令 apachectl startssl。 如果 Apache 仅以使用 apachectl startssl 的SSL支持开头,建议调整 Apache 启动配置,在命令 apachectl start 中加入SSL支持。 否则,如果服务器重新引导,那么可能需要使用 apachectl startssl 手动重新启动 Apache。 重启通常需要删除包含配置信息的 <IfDefine SSL></IfDefine SSL> 标记。

NGINX

  1. 订购源证书。

  2. 将 PEM 格式的专用密钥和源证书复制到服务器上保留密钥和证书文件的目录中的单独文件。

  3. 更新 NGINX 虚拟主机文件。 编辑 Web 站点的 NGINX 虚拟主机文件。 以下示例表示 SSL 支持的服务器块。 启用您网站服务器块中侦听套接字上的 ssl 参数,使其可通过 HTTP 和 HTTPS 访问。

    server {
  listen    80;
  listen    443;

  ssl       on;
  ssl_certificate         /path/to/your_certificate.pem;
  ssl_certificate_key     /path/to/your_private.key;
  location / {
    root    /home/www/public_html/yourdomain.com/public/;
    index   index.html;
  }
}

  4. 重新启动 NGINX。 运行以下某个命令以重新启动 NGINX。

    sudo /etc/init.d/nginx restart
sudo systemctl restart nginx

Apache Tomcat

  1. 订购源证书。

  2. 将 PKCS #7 格式 (cert.p7b) 的专用密钥和源证书复制到服务器上保留密钥和证书文件的目录中的单独文件。

    您必须将SSL证书文件安装到您用于生成CSR的同一密钥库和别名(或“服务器”)下。 如果将SSL证书文件安装到其他密钥库中,则下一步的安装将无法进行。

  3. 安装证书。 运行以下命令以将 SSL 证书文件安装到密钥库。

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks

    将显示一条确认消息: “证书应答已安装在密钥库中。” 如果系统要求信任该证书,请输入 yyes。 您的密钥库文件( your_site_name.jks )现在可以在您的Tomcat服务器上使用了。

  4. 配置 SSL 连接器。 为Tomcat配置SSL连接器,使其能够接受安全连接。

    1. 在文本编辑器中打开 Tomcat server.xml 文件。 server.xml 文件通常位于 Tomcat 主目录的 conf 文件夹中。
    2. 确定要用于保护新密钥库的连接器。 通常使用端口为 443 或 8443 的连接器。
    3. 删除连接器周围的任何注释标记。
    4. 更新连接器配置中的正确密钥库文件名和密码。

    以下示例表示配置的 SSL 连接器块。

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
disableUploadTimeout="true" acceptCount="100" scheme="https"
secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
keystorePass="your_keystore_password" />

    如果您的Tomcat版本低于Tomcat 7,请将 keystorePass 改为 keypass

  5. 保存 server.xml 文件。

  6. 重新启动 Tomcat。

Microsoft Internet Information Services (IIS) 7.0

  1. 在 IIS 管理器中创建一个 CSR,并将其导出为 .pem。 IIS 管理器位于管理工具下。

  2. 使用您的CSR订购 CIS 原产地证书。

  3. 将源证书复制到服务器的桌面。

  4. 打开 IIS 管理器并选择连接下的服务器主机名。

  5. 从中心菜单中的 IIS 部分中选择服务器证书

  6. 从“操作”菜单中选择操作完成证书请求。 在包含认证中心响应的文件名下的指定认证中心响应页面上,单击 ... 以浏览至复制到桌面的 .cer 证书文件,选择该文件,然后单击打开

  7. 输入证书的友好名称。 友好名称用于标识证书。

  8. 选择确定以完成服务器的证书安装。

  9. 将证书绑定到 Web 站点。 通过展开 IIS 管理器中连接下的菜单中服务器名称下的站点,选择 Web 站点。 从“操作”菜单中的编辑站点下选择绑定。 从“站点绑定”窗口中选择添加,然后提交以下信息。

    Type              https
IP Address        All Unassigned
Port              443
SSL Certificate   your_cert_friendly_name

  10. 您的 Web 站点现已配置为接受安全连接。

Microsoft Internet Information Services (IIS) 8.0 和 8.5

  1. 在 IIS 管理器中创建一个 CSR,并将其导出为 .pem。 IIS 管理器位于管理工具下。

  2. 使用您的CSR订购 CIS 原产地证书。

  3. 将源证书复制到服务器的桌面。

  4. 打开 IIS 管理器并选择连接下的服务器主机名。

  5. 从中心菜单中的 IIS 部分中选择服务器证书

  6. 从“操作”菜单中选择操作完成证书请求。 在包含认证中心响应的文件名下的指定认证中心响应页面上,单击 ... 以浏览至复制到桌面的 .cer 证书文件,选择该文件,然后单击打开

  7. 输入证书的友好名称。 友好名称用于标识证书。

  8. 选择确定以完成服务器的证书安装。

  9. 将证书绑定到 Web 站点。 通过展开 IIS 管理器中连接下的菜单中服务器名称下的站点,选择 Web 站点。 从“操作”菜单中的编辑站点下选择绑定。 从“站点绑定”窗口中选择添加,然后提交以下信息。

    Type              https
IP Address        All Unassigned
Port              443
SSL Certificate   your_cert_friendly_name

  10. 如果您有多个网站使用绑定到同一IP地址的SSL,您可以选择配置SSL证书以使用服务器名称指示(SNI)。 选择需要服务器名称指示框。

  11. 您的 Web 站点现已配置为接受安全连接。

证书链

在某些情况下,源 Web 服务器需要上载证书链。 使用这些链接可下载 ECCRSA 版本,然后将证书链上载到源 Web 服务器。

撤销源证书

删除您的 CIS 源证书。 此过程无法撤销。