為Code Engine專案提供 TLS 憑證
Code Engine應用程式和功能可以對網路公開,也可以在IBM Cloud內私有。 在這兩種情況下,您的應用程式或函數都充當 codeengine.appdomain.cloud 下的 HTTPS 端點。Code Engine提供用於加密的 TLS 憑證並定期輪替。
關於證書
憑證授權單位 (CA) 通常會簽署 Internet 中使用的 TLS 憑證。 這樣,世界各地的客戶端應用程式(例如瀏覽器)必須僅信任授權的憑證。 此外,它們不需要了解互聯網上存在的數百萬個站點的證書。
證書頒發機構通常只有幾個所謂的根證書,有時每種演算法(RSA 或彈性曲線)只有一個。 它們的有效期限往往超過10年甚至20年。 憑證授權單位使用這些根憑證的私鑰來簽署自己的中間憑證。 這些中間憑證的有效期很短,它們的私鑰用於為使用者簽署葉憑證。
使用者裝置安裝信任庫,其中包含所有經過審核和認證的憑證授權單位的根憑證。 作業系統通常包含所有已安裝程式都可以使用的信任庫。 某些瀏覽器(例如Google Chrome或Mozilla Firefox帶有自己的信任庫。
Code Engine及其憑證授權單位
Code Engine使用通配符主機名稱為每個專案來設定一個證書,因此適用於該專案中部署的所有應用程式和功能。 證書有效期限為90天; Code Engine會在到期前至少十天自動續約。
Let's Encrypt 作為憑證授權單位
Code Engine使用 Let's Encrypt 作為憑證授權單位來簽署Code Engine憑證;這些憑證使用 RSA 演算法。 因此,憑證鏈的根憑證為 ISRG Root X1。 包含此憑證的任何信任庫都可用於存取Code Engine。 有關信任 ISRG Root X1作業系統和瀏覽器版本的列表,請參閱https://letsencrypt.org/docs/certificate-compatibility/#platforms-that-trust-isrg-root-x1。
如果您使用舊版的瀏覽器或作業系統,請從https://letsencrypt.org/certificates/下載 ISRG Root X1。 請按照瀏覽器或作業系統供應商的說明將其安裝在相關的信任庫中。
如果您想建立自己的信任庫,請信任 ISRG Root X1,您可以從https://letsencrypt.org/certificates/下載它。
需要更多控制?
Let's Encrypt 是一個公共憑證授權機構,任何人都可以使用它來簽署自己網域的憑證。 因此,信任 ISRG Root X1意味著信任所有這些領域。
如果您只需要信任自己的應用程序,則可以使用自訂網域映射,這樣您就可以完全控制何時頒發和續訂自己網域的憑證。 您可以將用戶端應用程式設定為僅信任您的網域的葉憑證。 您需要一個憑證續約流程,以便您可以在網域對應的 TLS 金鑰和用戶端中切換到新證書,而不會出現通訊問題。 通常,您會先頒發新證書。 接下來,您將其新增至客戶端的信任庫。 將Code Engine專案中的 TLS 金鑰更新為新憑證和金鑰後,您可以從用戶端的信任庫中刪除舊憑證。