客户管理的OV/EV SSL证书要求
如果您选择添加自己的客户管理的SSL证书,它必须满足以下更新要求:
-
不支持域验证(DV)证书和自签名证书。
-
证书必须符合OV(组织验证)或EV(扩展验证)策略。
-
证书必须是受信任的证书颁发机构(CA)颁发的X.509 TLS证书。
-
支持的加密密钥类型包括:
- RSA 2048位,标准支持。
目前不支持大于2048位的RSA密钥(如3072位或4096位RSA密钥)。 - 椭圆曲线(EC)键
prime256v1
(secp256r1
)和secp384r1
- 椭圆曲线数字签名算法(ECDSA)证书。 Adobe建议此类证书优于RSA,以提高性能、安全性和效率。
- RSA 2048位,标准支持。
-
证书的格式必须正确才能通过验证。 私钥必须采用
PKCS#8
格式。
如果您的组织需要使用3072位RSA密钥的合规性,Adobe推荐的替代方案是使用ECDSA证书(
secp256r1
或secp384r1
)。证书管理最佳实践
-
避免证书重叠:
- 为了确保顺利的证书管理,请避免部署与同一域匹配的重叠证书。 例如,将通配符证书(*.example.com)与特定证书(dev.example.com)一起使用可能会导致混淆。
- TLS层优先处理最具体和最近部署的证书。
示例场景:
-
“开发证书”涵盖
dev.example.com
并部署为dev.example.com
的域映射。 -
“暂存证书”涵盖
stage.example.com
并部署为stage.example.com
的域映射。 -
如果“暂存证书”在 “开发证书”之后部署/更新,则它还会为
dev.example.com
提供请求。要避免此类冲突,请确保将证书的作用域仔细限定为其目标域。
-
通配符证书:
虽然支持通配符证书(例如
*.example.com
),但应仅在必要时使用。 在重叠的情况下,以更具体的证书为准。 例如,特定证书为dev.example.com
提供服务,而不是通配符(*.example.com
)。 -
验证和故障排除:
在尝试使用Cloud Manager安装证书之前,Adobe建议您使用openssl
等工具在本地验证证书的完整性。 例如,openssl verify -untrusted intermediate.pem certificate.pem