SSL 证书请求进程
将域委派给Adobe以发送电子邮件后(请参阅域名设置),Adobe将创建并使用特定子域执行特定功能。
例如,如果您已委派 email.example.com 来Adobe发送电子邮件,则Adobe将创建如下所示的子域:
- t.email.example.com — 用于跟踪链接
- m.email.example.com — 用于镜像页面
- res.email.example.com — 用于托管资源(如图像)
建议通过SSL (HTTPS) 保护这些域。 事实上,不安全的链接(HTTP)很容易被拦截,并且会在现代浏览器上标出警告。
要在这些子域上安装SSL证书,此过程包括请求CSR文件,然后为Adobe购买SSL证书以进行安装或续订。
术语表
SSL证书提供商,在验证组织或个人(如DigiCert、Symantec等)的标识后向其颁发数字证书。
- 受信任的CA通常被视为颁发根证书的第三方CA。
- 如果证书由使用该证书的相同组织/公司签名,则即使它们是SSL证书(如自签名证书),该证书也会被分类为不受信任的CA。
由创建证书的人而不是受信任的证书颁发机构签名的证书。 自签名证书可以启用与CA签名的证书相同级别的加密,但有两个主要缺点:
- 访客的连接可能被劫持,使得攻击者能够查看发送的所有数据(从而破坏加密连接的目的)
- 证书无法像受信任的证书那样被吊销。
主要步骤
- 索取证书签名请求(CSR)文件,并提供所需信息(国家/地区、州、城市、组织名称、组织单位名称等) Adobe。
- 验证由Adobe生成的CSR文件,并验证您提供的所有信息是否正确。
- 使用CSR详细信息生成由受信任的证书颁发机构 签名的证书。
- 验证SSL证书并验证它是否与CSR匹配。
- 向Adobe提供SSL证书,由他们进行安装。
- 测试是否已成功为每个安全子域安装SSL证书。
- 监测SSL证书的有效期。
- 更新Adobe Campaign中的任何特定配置。
详细流程
先决条件
您必须识别域名和功能(跟踪、镜像页面、Web应用程序等) 来保护。
步骤1 — 获取CSR文件
要获取CSR(证书签名请求)文件,请执行以下步骤。
以下是一些可遵循的最佳实践:
您需要提供以下信息。
要向Adobe团队提供帮助的信息:
要由IT/SSL内部团队提供的信息:
步骤2 — 验证CSR文件
在提交您的请求及相关信息后,Adobe会生成证书签名请求(CSR)文件,并会向您提供该文件。
生成的CSR文件中的文本必须以 "-----BEGIN CERTIFICATE REQUEST-----" 开头。
从Adobe收到CSR文件后,请执行以下步骤:
- 将CSR文件文本复制并粘贴到在线解码器中,如https://www.sslshopper.com/csr-decoder.html、 或https://www.entrust.net/ssl-technical/csr-viewer.cfm。
或者,您也可以在Linux计算机上本地使用 OpenSSL 命令。 - 验证所有检查是否成功。
- 检查是否包含正确的参数和域名。
- 检查所有其他数据与您在提交请求时提供的详细信息是否匹配。
步骤3 — 生成SSL证书
提供CSR文件后,您必须使用CSR文件为相应的域购买并生成SSL证书。
-
SSL证书:
- 必须采用Apache PEM格式;
- 不应超过2048位;
- 必须由有效的CA(证书颁发机构)签署;
- 必须包括CSR文件中提到的所有SAN (主题替代名称)。
-
如果有一个或多个中间证书,则必须提供根证书和所有要Adobe的中间证书。
-
您可以设置任意证书有效期,但Adobe建议选择足够长的时间(例如两年)。
步骤4 — 验证SSL证书
生成SSL证书后,您必须先验证该证书,然后再将其发送到Adobe。 要实现此目的,请执行以下步骤:
- 确保证书具有.pem扩展名。 如果不是这种情况,请将其转换为PEM格式。 您可以使用 OpenSSL 进行转换。
- 确认证书以 "-----BEGIN CERTIFICATE-----" 开头。
- 将证书文本复制到在线解码器中,如https://www.sslshopper.com/certificate-decoder.html或https://www.entrust.net/ssl-technical/csr-viewer.cfm。
或者,您也可以在Linux计算机上本地使用 OpenSSL 命令。 有关详细信息,请参阅此外部页面。 - 确保正确解析证书,包括公用名、SAN、颁发者和有效期。
- 如果SSL证书验证成功,请使用此网站检查证书是否与CSR匹配:选择 检查CSR和证书是否匹配,并在相应的字段中输入证书和您的CSR。 它们应该匹配。
步骤5 — 请求安装SSL证书
您需要提供:
- 证书文件、根证书和任何中间证书(附加到票证),最好采用Apache PEM格式。
- 为CSR引发的上一个支持票证的编号。
- 为CSR票证提供的相同数据(包括公用名称、实例URL、省/自治区/直辖市、组织名称、组织单位名称等)。
步骤6 — 测试SSL证书的安装
安装SSL证书并经Adobe客户关怀部门确认后,确保为所有URL成功安装了该证书。
在关闭SSL安装票证之前,请执行以下测试。 另请确保按照此部分中的说明更新任何特定配置。
在浏览器中导航到以下URL(将“subdomain.customer.com”替换为您的子域):
- https://subdomain.customer.com/r/test (仅适用于Web应用程序子域 — 不适用于电子邮件子域)
- https://t.subdomain.customer.com/r/test
- https://m.subdomain.customer.com/r/test
- https://res.subdomain.customer.com/r/test
成功的结果会提供环境信息, URL中的地址栏表示连接是安全的。 例如,您可以在Google Chrome中看到以下消息:
如果未正确安装SSL证书,则会显示以下警告:
步骤7 — 检查证书有效期
您可以在浏览器中检查证书的有效期。 例如,在Google Chrome中,单击 安全 > 证书。
检查有效期是您的责任。 Adobe建议您实施用于监视证书到期的进程。 详细了解SSL证书在本文后过期时会发生什么情况。
步骤8 — 更新任何特定配置 update-configuration
在您确信请求的SSL证书已正确安装后,您可以将Adobe Campaign中的所有引用从HTTP更新为HTTPS。
更新配置后,将使用HTTPS URL而不是HTTP发送新电子邮件。 要检查URL现在是否安全,您可以快速执行以下测试:
- 从Adobe Campaign上传图像。 上传图像后,返回的URL应为HTTPS。
- 创建测试电子邮件投放,包括镜像页面链接、某些图像、文本和退订链接。 将电子邮件发送到外部电子邮件ID(如您的Gmail地址)。 收到后,打开电子邮件并确保电子邮件中的所有链接都以其HTTPS表单(而不是HTTP)正确打开,且不会出现任何SSL证书警告或错误。
产品特定资源
Campaign Classic
- 控制面板:添加SSL证书(教程) — 了解如何添加SSL证书以保护子域。
Campaign Standard
- 控制面板:添加SSL证书(教程) — 了解如何添加SSL证书以保护子域。