添加 SSL 证书 adding-an-ssl-certificate
了解如何使用 Cloud Manager 的自助服务工具添加您自己的 SSL 证书。
证书要求 certificate-requirements
查看文档管理SSL证书简介的 证书要求 部分,以确保AEM as a Cloud Service支持您要添加的证书。
添加证书 adding-a-cert
按照以下步骤使用 Cloud Manager 添加证书。
-
在 my.cloudmanager.adobe.com 登录 Cloud Manager 并选择适当的组织。
-
在 我的程序 控制台上,选择该程序。
-
从 概述 页面导航到 环境 屏幕。
-
从左侧导航面板中单击 SSL证书。 主屏幕上显示一个包含任何现有 SSL 证书详细信息的表。
-
单击 添加SSL证书 以打开 添加SSL证书 对话框。
- 在 证书名称 中输入证书名称。
- 这仅供参考,可以是任何有助于您轻松引用证书的名称。
- 将 证书、私钥 和 证书链 值粘贴到各自的字段中。这三个字段都是必填字段。
- 在某些情况下,最终用户证书可能会包含在链中,并且必须在将链粘贴到字段之前将其清除。
-
显示检测到的任何错误。
- 在保存证书之前,必须解决所有错误。
- 请参阅证书错误部分,了解有关解决常见错误的更多信息。
- 在 证书名称 中输入证书名称。
-
单击 保存,保存您的证书。
保存后,您将看到证书在表中显示为新行。
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
的错误,则可能已将客户端证书包含在证书链中。 请确保该链不包含客户端证书,然后重试。证书错误 certificate-errors
如果证书安装不正确或不符合 Cloud Manager 的要求,则可能会出现某些错误。
证书策略 certificate-policy
如果您看到以下错误,请检查证书的策略。
Certificate policy must conform with EV or OV, and not DV policy.
通常,证书策略由嵌入的 OID 值标识。将证书输出到文本并搜索 OID 将显示证书的策略。
您可以使用以下示例作为指导,将证书详细信息输出为文本。
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
文本中的 OID 模式定义证书的策略类型。
2.23.140.1.1
2.23.140.1.2.2
2.23.140.1.2.1
通过 grep
ping 输出证书文本中的 OID 模式,您可以确认您的证书策略。
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
正确的证书顺序 correct-certificate-order
证书部署失败的最常见原因是中间证书或链证书的顺序不正确。
中间证书文件必须以根证书或最接近根的证书结尾。它们必须从 main/server
证书降序到根目录。
可以使用以下命令确定中间文件的顺序。
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
您可以使用以下命令验证私钥和 main/server
证书是否匹配。
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server
证书的匹配私钥,您需要通过生成新的 CSR 和/或向 SSL 供应商请求更新的证书来重新键入证书。证书有效日期 certificate-validity-dates
Cloud Manager 希望 SSL 证书自当前日期起至少 90 天有效。您应该检查证书链的有效性。