新增 SSL 憑證 adding-an-ssl-certificate

了解如何使用 Cloud Manager 的自助服務工具新增您自己的 SSL 憑證。

TIP
提供憑證可能需要幾天時間。因此,Adobe 建議提前準備好憑證。

憑證需求 certificate-requirements

檢閱區段 憑證需求 檔案 管理SSL憑證的簡介 以確保AEMas a Cloud Service支援您要新增的憑證。

正在新增憑證 adding-a-cert

依照以下步驟使用 Cloud Manager 新增憑證。

  1. 登入Cloud Manager於 my.cloudmanager.adobe.com 並選取適當的組織

  2. 我的計畫 畫面,選取程式。

  3. 從​ 概觀 ​頁面瀏覽到​ 環境 ​畫面。

  4. 按一下 SSL憑證 從左側導覽面板。 包含任何現有 SSL 憑證詳細資訊的表格會顯示在主畫面上。

    新增 SSL 憑證

  5. 按一下 新增SSL憑證 以開啟 新增SSL憑證 對話方塊。

    • 在​ 憑證名稱 ​中輸入憑證名稱。
      • 這僅供參考,可以是任何有助於您輕鬆引用憑證的名稱。
    • 在對應欄位中貼上​ 憑證私人金鑰 ​和​ 憑證鏈 ​值。所有三個欄位都是必填項目。

    新增憑證對話方塊

    • 會顯示偵測到的任何錯誤。

      • 您必須先解決所有錯誤,然後才能保存您的憑證。
      • 請參閱憑證錯誤章節以了解有關解決常見錯誤的更多資訊。
  6. 按一下​ 儲存 ​來儲存您的憑證。

儲存後,您會看到憑證在表格中顯示為新的一列。

已儲存的 SSL 憑證

NOTE
使用者必須具有​ 業務負責人 ​或​ 部署管理員 ​角色,才能在 Cloud Manager 中安裝 SSL 憑證。

憑證錯誤 certificate-errors

如果憑證未正確安裝或未滿足 Cloud Manager 的要求,可能會出現某些錯誤。

憑證政策 certificate-policy

如果您看到以下錯誤,請檢查您的憑證政策。

Certificate policy must conform with EV or OV, and not DV policy.

通常憑證策略由嵌入的 OID 值標識。將憑證輸出為文字並搜尋 OID 將顯示憑證的策略。

您可以使用以下範例作為指南將您的憑證詳細資訊輸出為文字。

openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

文字中的 OID 模式定義了憑證的策略類型。

模式
政策
Cloud Manager 中的已接受內容
2.23.140.1.1
EV
2.23.140.1.2.2
OV
2.23.140.1.2.1
DV

透過grepping 輸出憑證文字中的 OID 模式,您可以確認您的憑證策略。

# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5

正確的憑證順序 correct-certificate-order

憑證部署失敗的最常見原因是中間憑證或鏈憑證的順序不正確。

中間憑證文件必須以根憑證或最接近根的憑證結尾。它們必須按降序排列main/server憑證到根。

您可以使用以下命令確定中間文件的順序。

openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

您可以驗證私鑰和main/server使用以下命令進行憑證匹配。

openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTE
這兩個命令的輸出必須完全相同。如果您無法為您的 main/server 憑證找到相符的私密金鑰,您需要透過產生新的 CSR 和/或向您的 SSL 供應商請求更新的憑證來重新加密憑證。

憑證有效期 certificate-validity-dates

Cloud Manager 預計 SSL 憑證從當前日期起至少 90 天內有效。您應該檢查憑證鏈結的有效性。

recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab