文档AEM as a Cloud Service用户指南

添加 SSL 证书 adding-an-ssl-certificate

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • undefined
  • undefined

了解如何使用 Cloud Manager 的自助服务工具添加您自己的 SSL 证书。

TIP
提供证书可能需要几天时间。因此,Adobe 建议提前提供证书。

证书要求 certificate-requirements

查看文档管理SSL证书简介的​ 证书要求 ​部分,以确保AEM as a Cloud Service支持您要添加的证书。

添加证书 adding-a-cert

按照以下步骤使用 Cloud Manager 添加证书。

  1. my.cloudmanager.adobe.com 登录 Cloud Manager 并选择适当的组织。

  2. 在​ 我的程序 ​控制台上,选择该程序。

  3. 从​ 概述 ​页面导航到​ 环境 ​屏幕。

  4. 从左侧导航面板中单击​ SSL证书。 主屏幕上显示一个包含任何现有 SSL 证书详细信息的表。

    添加 SSL 证书

  5. 单击​ 添加SSL证书 ​以打开​ 添加SSL证书 ​对话框。

    • 在​ 证书名称 ​中输入证书名称。
      • 这仅供参考,可以是任何有助于您轻松引用证书的名称。
    • 将​ 证书私钥 ​和​ 证书链 ​值粘贴到各自的字段中。这三个字段都是必填字段。
    • 在某些情况下,最终用户证书可能会包含在链中,并且必须在将链粘贴到字段之前将其清除。

    添加“SSL 证书”对话框

    • 显示检测到的任何错误。

      • 在保存证书之前,必须解决所有错误。
      • 请参阅证书错误部分,了解有关解决常见错误的更多信息。

  6. 单击​ 保存,保存您的证书。

保存后,您将看到证书在表中显示为新行。

保存的 SSL 证书

NOTE
用户必须是​ 业务负责人 ​或​ 部署管理员 ​角色成员,才能在 Cloud Manager 中安装 SSL 证书。
NOTE
如果收到类似于The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.的错误,则可能已将客户端证书包含在证书链中。 请确保该链不包含客户端证书,然后重试。

证书错误 certificate-errors

如果证书安装不正确或不符合 Cloud Manager 的要求,则可能会出现某些错误。

证书策略 certificate-policy

如果您看到以下错误,请检查证书的策略。

Certificate policy must conform with EV or OV, and not DV policy.

通常,证书策略由嵌入的 OID 值标识。将证书输出到文本并搜索 OID 将显示证书的策略。

您可以使用以下示例作为指导,将证书详细信息输出为文本。

openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

文本中的 OID 模式定义证书的策略类型。

图案
策略
在 Cloud Manager 中可接受
2.23.140.1.1
EV
2.23.140.1.2.2
OV
2.23.140.1.2.1
DV

通过 grepping 输出证书文本中的 OID 模式,您可以确认您的证书策略。

# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5

正确的证书顺序 correct-certificate-order

证书部署失败的最常见原因是中间证书或链证书的顺序不正确。

中间证书文件必须以根证书或最接近根的证书结尾。它们必须从 main/server 证书降序到根目录。

可以使用以下命令确定中间文件的顺序。

openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

您可以使用以下命令验证私钥和 main/server 证书是否匹配。

openssl x509 -noout -modulus -in certificate.pem | openssl md5

openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTE
这两个命令的输出必须完全相同。如果您找不到 main/server 证书的匹配私钥,您需要通过生成新的 CSR 和/或向 SSL 供应商请求更新的证书来重新键入证书。

证书有效日期 certificate-validity-dates

Cloud Manager 希望 SSL 证书自当前日期起至少 90 天有效。您应该检查证书链的有效性。

recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab