管理边缘证书
IBM Cloud® Internet Services 提供三种类型的边缘证书: 通用,高级和定制。
通用证书
缺省情况下,CIS 向 CIS上添加的所有域发出免费,未共享且公开可信的 SSL 证书。 对于这些通用证书,CIS 控制有效期和认证中心 (CA),确保始终发生续约。 Let's Encrypt 或 Google 信任服务颁发的通用证书有效期为 90 天。
CIS可以在不事先通知的情况下更改通用证书的 CA,并且不会将这些更改通知您。 如果您希望选择自己的证书颁发机构,请订购高级证书。
高级证书
高级证书提供了一种灵活的可定制方法来发放和管理证书。 如果您想要比通用 SSL 更可定制的内容,但仍希望 SSL 证书发放和更新方便,请使用高级证书。
高级证书直接通过 CIS进行订购。
通用证书和高级证书的证书有效期和续约期
通用证书始终有效 90 天,并且在到期前 30 天自动更新。
通过使用高级证书,可以选择有效性和自动更新日期,如下表中所示。
| 证书有效期 | 自动续订周期 | 详细信息 |
|---|---|---|
| 3 个月 | 30 天 | |
| 1 个月 | 7 天 | Let's Encrypt 不支持 |
| 2 周 | 3 天 | Let's Encrypt 不支持 |
更新周期在后端自动执行,并且不可定制。
备份证书
如果CIS为您的域名提供权威 DNS,则CIS将为签发的每份标准通用证书签发一份备用通用 SSL 证书。
备份证书使用不同的私钥封装,由不同的证书颁发机构(GoogleTrust Services、Let's Encrypt、Sectigo 或SSL.com)颁发,与域名的主通用 SSL 证书不同。
这些备份证书通常不会部署,但在证书被吊销或密钥泄露的情况下,CIS会自动部署这些证书。
定制证书
定制证书适用于希望使用自己的 SSL 证书的客户。 将这些证书上载到 CIS。
与通用或高级证书不同,CIS不会管理自定义证书的签发或续期。 您负责上载,更新和跟踪定制证书的到期日期。
未能更新和替换证书
对于由 CIS管理的证书,更新尝试在自动更新时间段开始,并持续到到期前 24 小时。 如果证书无法更新,并且主机名存在另一个有效证书,那么 CIS 将在最近 24 小时内部署有效证书。
CAA 记录
A 证书颁发机构授权(CAA)DNS 记录 指定哪些证书颁发机构 (CA) 被允许为域颁发证书。 此记录减少了未经授权颁发证书的机会并促进了整个组织的标准化。
下表列出了每个CA的CAA记录内容:
| 认证中心 | CAA 记录内容 |
|---|---|
| Let's Encrypt | letsencrypt.org |
| Google Trust Services | pki.goog; cansignhttpexchanges=yes |
| SSL.com | ssl.com |
| DigiCert | digicert.com; cansignhttpexchanges=yes |
| 塞克蒂戈 | sectigo.com |
证书状态
每种证书状态都描述了您在签发过程中所处的位置,并根据证书类型而有所不同。
新证书状态
当您订购新证书时,无论是边缘证书还是用于自定义主机名的证书,其状态都会随着进入全球网络而经历不同阶段。
- 正在初始化
- 待验证
- 待发行
- 待部署
- 活动
签发证书后,证书将转入待验证状态,验证完成后将转入激活状态。 如果发现任何错误,可能需要采取更多措施来验证证书。
如果停用证书,它将转入停用状态,然后转入非活动状态。
自定义证书状态
当您使用自定义证书,且区域状态为“待定”或“已移动”时,您的证书可能处于“等待部署”状态。
当你的区域处于激活状态时,你的自定义证书会自动部署并更改为激活状态。 但是,如果在上传自定义证书时,您的区域已处于激活状态,则不会看到此状态。
暂存证书状态
在暂存环境中创建证书时,这些暂存证书有自己的一套状态。
- 暂存部署:与“待部署”类似,但用于暂存证书。
- 分期激活:与激活类似,但用于暂存证书。
- 停用:您的暂存证书正处于非激活状态。
- 不活动:您的暂存证书不在边缘,但您可以在需要时部署它。
客户证书状态
使用客户证书时,这些客户证书有自己的一套状态:
- 激活:客户证书处于激活状态。
- 已撤销:客户证书已撤销。
- 待重新激活:客户证书已被吊销,但正在恢复中。
- 待撤销:客户证书处于激活状态,但正在被撤销。