IBM Cloud Docs
管理边缘证书

管理边缘证书

IBM Cloud® Internet Services 提供三种类型的边缘证书: 通用,高级和定制。

通用证书

缺省情况下,CIS 向 CIS上添加的所有域发出免费,未共享且公开可信的 SSL 证书。 对于这些通用证书,CIS 控制有效期和认证中心 (CA),确保始终发生续约。 Let's Encrypt 或 Google 信任服务颁发的通用证书有效期为 90 天。

CIS可以在不事先通知的情况下更改通用证书的 CA,并且不会将这些更改通知您。 如果您希望选择自己的证书颁发机构,请订购高级证书。

高级证书

高级证书提供了一种灵活的可定制方法来发放和管理证书。 如果您想要比通用 SSL 更可定制的内容,但仍希望 SSL 证书发放和更新方便,请使用高级证书。

高级证书直接通过 CIS进行订购。

通用证书和高级证书的证书有效期和续约期

通用证书始终有效 90 天,并且在到期前 30 天自动更新。

通过使用高级证书,可以选择有效性和自动更新日期,如下表中所示。

CIS证书有效期
证书有效期 自动续订周期 详细信息
3 个月 30 天
1 个月 7 天 Let's Encrypt 不支持
2 周 3 天 Let's Encrypt 不支持

更新周期在后端自动执行,并且不可定制。

备份证书

如果CIS为您的域名提供权威 DNS,则CIS将为签发的每份标准通用证书签发一份备用通用 SSL 证书。

备份证书使用不同的私钥封装,由不同的证书颁发机构(GoogleTrust Services、Let's Encrypt、Sectigo 或SSL.com)颁发,与域名的主通用 SSL 证书不同。

这些备份证书通常不会部署,但在证书被吊销或密钥泄露的情况下,CIS会自动部署这些证书。

认证中心

对于公共信任的证书,Cloudflare 与不同的证书颁发机构 (CA) 合作。 以下 CA 可供选择CIS:

  • Let's Encrypt
  • Google Trust Services
    • 支持14、30、90天的有效期
    • DCV 代币有效期为 14 天
    • 兼容性文档
  • SSL.com
    • 支持14、30、90天的有效期
      • 1 年有效期适用于企业客户
    • DCV 代币有效期为 14 天
    • 兼容性文档
  • DigiCert已停用
    • 支持14、30、90天的有效期
    • DCV 代币的有效期为 30 天
    • 兼容性文档
  • 塞克蒂戈
    • 仅用于备份证书CIS正在为您的域名提供权威 DNS
    • 支持90天的有效期
    • 兼容性文档

定制证书

定制证书适用于希望使用自己的 SSL 证书的客户。 将这些证书上载到 CIS。

与通用或高级证书不同,CIS不会管理自定义证书的签发或续期。 您负责上载,更新和跟踪定制证书的到期日期。

未能更新和替换证书

对于由 CIS管理的证书,更新尝试在自动更新时间段开始,并持续到到期前 24 小时。 如果证书无法更新,并且主机名存在另一个有效证书,那么 CIS 将在最近 24 小时内部署有效证书。

CAA 记录

A 证书颁发机构授权(CAA)DNS 记录 指定哪些证书颁发机构 (CA) 被允许为域颁发证书。 此记录减少了未经授权颁发证书的机会并促进了整个组织的标准化。

下表列出了每个CA的CAA记录内容:

每个 CA 的 CAA 记录内容
认证中心 CAA 记录内容
Let's Encrypt letsencrypt.org
Google Trust Services pki.goog; cansignhttpexchanges=yes
SSL.com ssl.com
DigiCert digicert.com; cansignhttpexchanges=yes
塞克蒂戈 sectigo.com

证书状态

每种证书状态都描述了您在签发过程中所处的位置,并根据证书类型而有所不同。

新证书状态

当您订购新证书时,无论是边缘证书还是用于自定义主机名的证书,其状态都会随着进入全球网络而经历不同阶段。

  1. 正在初始化
  2. 待验证
  3. 待发行
  4. 待部署
  5. 活动

签发证书后,证书将转入待验证状态,验证完成后将转入激活状态。 如果发现任何错误,可能需要采取更多措施来验证证书。

如果停用证书,它将转入停用状态,然后转入非活动状态

自定义证书状态

当您使用自定义证书,且区域状态为“待定”或“已移动”时,您的证书可能处于“等待部署”状态。

当你的区域处于激活状态时,你的自定义证书会自动部署并更改为激活状态。 但是,如果在上传自定义证书时,您的区域已处于激活状态,则不会看到此状态。

暂存证书状态

在暂存环境中创建证书时,这些暂存证书有自己的一套状态。

  • 暂存部署:与“待部署”类似,但用于暂存证书。
  • 分期激活:与激活类似,但用于暂存证书。
  • 停用:您的暂存证书正处于非激活状态。
  • 不活动:您的暂存证书不在边缘,但您可以在需要时部署它。

客户证书状态

使用客户证书时,这些客户证书有自己的一套状态:

  • 激活:客户证书处于激活状态。
  • 已撤销:客户证书已撤销。
  • 待重新激活:客户证书已被吊销,但正在恢复中。
  • 待撤销:客户证书处于激活状态,但正在被撤销。