Introduktion till SSL-certifikat introduction
Lär dig mer om de självbetjäningsverktyg som Cloud Manager tillhandahåller för att installera och hantera SSL-certifikat (Secure Socket Layer).
Vad är SSL-certifikat? overview
Företag och organisationer använder SSL-certifikat (Secure Socket Layer) för att skydda sina webbplatser och göra det möjligt för sina kunder att lita på dem. Om du vill använda SSL-protokollet måste en webbserver ha ett SSL-certifikat.
När en entitet, till exempel en organisation eller ett företag, begär ett certifikat från en certifikatutfärdare (CA) slutför certifikatutfärdaren en verifieringsprocess. Den här processen kan omfatta allt från verifiering av domännamnskontroll till insamling av registreringsdokument och prenumerationsavtal. När informationen för en entitet har verifierats signerar certifikatutfärdaren sin offentliga nyckel med hjälp av certifikatutfärdarens privata nyckel. Eftersom alla viktiga certifikatutfärdare har rotcertifikat i webbläsare länkas entitetens certifikat via en förtroendekedja och webbläsaren tolkar det som ett pålitligt certifikat.
Hantera certifikat med Cloud Manager cloud-manager
Cloud Manager erbjuder självbetjäningsverktyg för att installera och hantera SSL-certifikat och säkerställa webbplatssäkerheten för dina användare. Cloud Manager stöder två modeller för hantering av dina certifikat.
Båda modellerna har följande allmänna funktioner för att hantera dina certifikat:
- Varje Cloud Manager-miljö kan använda flera certifikat.
- En privat nyckel kan utfärda flera SSL-certifikat.
- Plattformens TLS-tjänst skickar förfrågningar till kundens CDN-tjänst baserat på det SSL-certifikat som används för att avsluta och den CDN-tjänst som är värd för den domänen.
Adobe-hanterade (DV) SSL-certifikat adobe-managed
DV-certifikat är den mest grundläggande nivån för SSL-certifiering och används ofta för testning eller för att skydda webbplatser med grundläggande kryptering. DV-certifikat är tillgängliga i både produktionsprogram och sandlådeprogram.
När DV-certifikatet har skapats förnyas det automatiskt var tredje månad, såvida det inte tas bort.
SSL-certifikat som hanteras av kund (OV/EV) customer-managed
OV- och EV-certifikat innehåller CA-validerad information. Sådan information hjälper användarna att bedöma om webbplatsägaren, e-postavsändaren eller den digitala signeraren av kod eller PDF-dokument kan betraktas som tillförlitliga. DV-certifikat tillåter inte sådan ägarskapsverifiering.
OV och EV erbjuder dessutom dessa funktioner jämfört med DV-certifikat i Cloud Manager.
- Flera miljöer kan använda ett OV/EV-certifikat. Det innebär att den kan läggas till en gång, men användas flera gånger.
- Varje OV/EV-certifikat innehåller vanligtvis flera domäner.
- Cloud Manager godkänner OV-/EV-certifikat med jokertecken för en domän.
Krav för kundhanterade OV/EV SSL-certifikat requirements
Om du väljer att lägga till ett eget kundhanterat SSL-certifikat måste det uppfylla följande uppdaterade krav:
-
DV-certifikat (Domain Validation) och självsignerade certifikat stöds inte.
-
Certifikatet måste följa OV-profiler (Organization Validation) eller EV-profiler (Extended Validation).
-
Certifikatet måste vara ett X.509 TLS-certifikat utfärdat av en betrodd certifikatutfärdare (CA).
-
Följande kryptografiska nyckeltyper stöds:
- 2048-bitars RSA, standardstöd.
RSA-nycklar som är större än 2048 bitar (till exempel 3072-bitars eller 4096-bitars RSA-nycklar) stöds inte för närvarande. - Elliptiska kurvnycklar (EC)
prime256v1
(secp256r1
) ochsecp384r1
- ECDSA-certifikat (Elliptic Curve Digital Signature Algorithm). Sådana certifikat rekommenderas av Adobe framför RSA för bättre prestanda, säkerhet och effektivitet.
- 2048-bitars RSA, standardstöd.
-
Certifikat måste vara korrekt formaterade för att validering ska kunna utföras. Privata nycklar måste ha formatet
PKCS#8
.
secp256r1
eller secp384r1
).Bästa tillvägagångssätt för certifikatshantering
-
Undvik överlappande certifikat:
- Undvik att distribuera överlappande certifikat som matchar samma domän för att få en smidig certifikatshantering. Om du till exempel har ett jokertecken (*.example.com) bredvid ett visst certifikat (dev.example.com) kan det leda till förvirring.
- TLS-lagret prioriterar det mest specifika och nyligen distribuerade certifikatet.
Exempelscenarier:
-
"Dev Certificate" omfattar
dev.example.com
och distribueras som en domänmappning fördev.example.com
. -
"Stage Certificate" omfattar
stage.example.com
och distribueras som en domänmappning förstage.example.com
. -
Om "Stage Certificate" distribueras/uppdateras efter "Dev Certificate" används även begäranden för
dev.example.com
.För att undvika sådana konflikter måste du se till att certifikaten noggrant omfattar de domäner de är avsedda för.
-
Jokertecken:
Jokertecken (till exempel
*.example.com
) stöds, men de bör bara användas när det behövs. Vid överlappning har det mer specifika certifikatet företräde. Det specifika certifikatet visar till exempeldev.example.com
i stället för jokertecknet (*.example.com
). -
Validering och felsökning:
Innan du försöker installera ett certifikat med Cloud Manager rekommenderar Adobe att du validerar certifikatets integritet lokalt med verktyg somopenssl
. Exempel:openssl verify -untrusted intermediate.pem certificate.pem
Format för kundhanterade certifikat certificate-format
SSL-certifikatfiler måste vara i PEM-format för att kunna installeras med Cloud Manager. Vanliga filtillägg för PEM-formatet är .pem,
. crt
, .cer
och .cert
.
Följande openssl
-kommandon kan användas för att konvertera certifikat som inte är PEM-certifikat.
-
Konvertera PFX till PEM
code language-shell openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
-
Konvertera P7B till PEM
code language-shell openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
-
Konvertera DER till PEM
code language-shell openssl x509 -inform der -in certificate.cer -out certificate.pem
Begränsning av antalet installerade SSL-certifikat limitations
Cloud Manager stöder vid varje given tidpunkt upp till 50 installerade certifikat. Dessa certifikat kan kopplas till en eller flera miljöer i hela programmet och kan även innehålla certifikat som gått ut.
Om du har nått gränsen kan du granska dina certifikat och ta bort certifikat som har gått ut. Eller gruppera flera domäner i samma certifikat eftersom ett certifikat kan omfatta flera domäner (upp till 100 SAN-nätverk).
Läs mer learn-more
En användare med nödvändig behörighet kan använda Cloud Manager för att hantera SSL-certifikat för ett program. Mer information om hur du använder dessa funktioner finns i följande dokument.