新增 SSL 憑證 adding-an-ssl-certificate
了解如何使用 Cloud Manager 的自助服務工具新增您自己的 SSL 憑證。
憑證需求 certificate-requirements
檢閱區段 憑證需求 檔案 管理SSL憑證的簡介 以確保AEMas a Cloud Service支援您要新增的憑證。
正在新增憑證 adding-a-cert
依照以下步驟使用 Cloud Manager 新增憑證。
-
登入Cloud Manager於 my.cloudmanager.adobe.com 並選取適當的組織
-
在 我的計畫 畫面,選取程式。
-
從 概觀 頁面瀏覽到 環境 畫面。
-
按一下 SSL憑證 從左側導覽面板。 包含任何現有 SSL 憑證詳細資訊的表格會顯示在主畫面上。
-
按一下 新增SSL憑證 以開啟 新增SSL憑證 對話方塊。
- 在 憑證名稱 中輸入憑證名稱。
- 這僅供參考,可以是任何有助於您輕鬆引用憑證的名稱。
- 在對應欄位中貼上 憑證、私人金鑰 和 憑證鏈 值。所有三個欄位都是必填項目。
-
會顯示偵測到的任何錯誤。
- 您必須先解決所有錯誤,然後才能保存您的憑證。
- 請參閱憑證錯誤章節以了解有關解決常見錯誤的更多資訊。
- 在 憑證名稱 中輸入憑證名稱。
-
按一下 儲存 來儲存您的憑證。
儲存後,您會看到憑證在表格中顯示為新的一列。
憑證錯誤 certificate-errors
如果憑證未正確安裝或未滿足 Cloud Manager 的要求,可能會出現某些錯誤。
憑證政策 certificate-policy
如果您看到以下錯誤,請檢查您的憑證政策。
Certificate policy must conform with EV or OV, and not DV policy.
通常憑證策略由嵌入的 OID 值標識。將憑證輸出為文字並搜尋 OID 將顯示憑證的策略。
您可以使用以下範例作為指南將您的憑證詳細資訊輸出為文字。
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
文字中的 OID 模式定義了憑證的策略類型。
2.23.140.1.1
2.23.140.1.2.2
2.23.140.1.2.1
透過grep
ping 輸出憑證文字中的 OID 模式,您可以確認您的憑證策略。
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
正確的憑證順序 correct-certificate-order
憑證部署失敗的最常見原因是中間憑證或鏈憑證的順序不正確。
中間憑證文件必須以根憑證或最接近根的憑證結尾。它們必須按降序排列main/server
憑證到根。
您可以使用以下命令確定中間文件的順序。
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
您可以驗證私鑰和main/server
使用以下命令進行憑證匹配。
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server
憑證找到相符的私密金鑰,您需要透過產生新的 CSR 和/或向您的 SSL 供應商請求更新的憑證來重新加密憑證。憑證有效期 certificate-validity-dates
Cloud Manager 預計 SSL 憑證從當前日期起至少 90 天內有效。您應該檢查憑證鏈結的有效性。