SSL 憑證簡介

最後更新: 2025年2月21日

建立對象:

  • 管理員
  • 開發人員

瞭解Cloud Manager提供的自助服務工具,用於安裝和管理SSL (安全通訊端層)憑證。

什麼是SSL憑證?

企業和組織使用SSL (安全通訊端層)憑證來保護他們的網站,並讓他們的客戶信任他們。 若要使用SSL通訊協定,Web伺服器需要SSL憑證。

當實體(例如組織或企業)向憑證授權單位(CA)要求憑證時,CA會完成驗證程式。 此程式的範圍包括從驗證網域名稱控制到收集公司註冊檔案和訂閱者協定。 在實體的資訊獲得驗證後,CA會使用CA的私密金鑰簽署其公開金鑰。 因為所有主要的憑證授權單位在Web瀏覽器中都有根憑證,實體的憑證會透過​ 信任鏈 ​連結,而且網頁瀏覽器會將其識別為受信任的憑證。

IMPORTANT
Cloud Manager 不提供 SSL 憑證或私密金鑰。這些部分必須從憑證授權單位(受信任的第三方組織)取得。 某些知名的憑證授權單位包括​ DigiCertLet's EncryptGlobalSignEntrust ​和​ Verisign

使用Cloud Manager管理憑證

Cloud Manager提供自助服務工具來安裝和管理SSL憑證,確保使用者的網站安全性。 Cloud Manager支援兩種管理憑證的模式。

模型描述
AAdobe管理的SSL憑證(DV)Cloud Manager可讓使用者設定Adobe所提供的DV (網域驗證)憑證,以進行快速網域設定。
B客戶管理的SSL憑證(OV/EV)Cloud Manager提供平台TLS (傳輸層安全性)服務,可讓您管理您所擁有的OV和EV SSL憑證,以及來自協力廠商憑證授權單位的私密金鑰,例如​ Let's Encrypt

這兩種模式都提供下列管理憑證的一般功能:

  • 每個 Cloud Manager 環境都可以使用多個憑證。
  • 一個私密金鑰可以發行多個 SSL 憑證。
  • 平台 TLS 服務根據用於終止的 SSL 憑證和託管該網域的 CDN 服務將要求路由到客戶的 CDN 服務。
IMPORTANT
若要新增自訂網域並與環境建立關聯,您必須擁有涵蓋網域的有效SSL憑證。

Adobe管理的(DV) SSL憑證

DV憑證是最基本的SSL憑證等級,通常用於測試目的或透過基本加密保護網站。 DV憑證可在生產程式和沙箱程式中使用。

建立DV憑證後,Adobe會每三個月自動更新一次,除非該憑證被刪除。

客戶管理的(OV/EV) SSL憑證

OV和EV憑證提供CA驗證的資訊。 這類資訊可協助使用者評估網站所有者、電子郵件寄件者或程式碼或PDF檔案的數位簽署者是否值得信任。 DV 憑證不允許此類所有權驗證。

OV和EV另外在Cloud Manager中透過DV憑證提供這些功能。

  • 多個環境可以使用OV/EV憑證。 也就是說,可以新增一次,但使用多次。
  • 每個OV/EV憑證通常包含多個網域。
  • Cloud Manager接受網域的萬用字元OV/EV憑證。
TIP
如果您有多個自訂網域,則可能不希望每次新增網域時都上傳憑證。 在這種情況下,您可以透過取得涵蓋多個網域的單一憑證受益。

客戶管理的OV/EV SSL憑證需求

如果您選擇新增自己的客戶管理SSL憑證,該憑證必須符合下列更新要求:

  • 不支援網域驗證(DV)憑證和自簽憑證。

  • 憑證必須符合OV (組織驗證)或EV (擴展驗證)政策。

  • 憑證必須是受信任的憑證授權單位(CA)所核發的X.509 TLS憑證。

  • 支援的密碼編譯金鑰型別包括:

    • RSA 2048位元,標準支援。
      目前不支援大於2048位元的RSA金鑰(例如3072位元或4096位元的RSA金鑰)。
    • 橢圓曲線(EC)索引鍵prime256v1 (secp256r1)和secp384r1
    • 橢圓曲線數位簽章演演算法(ECDSA)憑證。 Adobe建議您使用這類憑證來取代RSA,以提升效能、安全性和效率。

  • 憑證的格式必須正確才能通過驗證。 私密金鑰必須為PKCS#8格式。

NOTE
如果您的組織需要使用3072位元RSA金鑰的規範遵循,Adobe建議的替代方法是使用ECDSA憑證(secp256r1secp384r1)。

憑證管理的最佳實務

  • 避免憑證重疊:

    • 若要確保順暢的憑證管理,請避免部署與相同網域相符的重疊憑證。 例如,搭配使用萬用字元憑證(*.example.com)和特定憑證(dev.example.com)可能會導致混淆。
    • TLS層會優先處理最近部署的特定憑證。

    案例範例:

    • 「開發憑證」涵蓋dev.example.com,並部署為dev.example.com的網域對應。

    • 「中繼憑證」涵蓋stage.example.com,並部署為stage.example.com的網域對應。

    • 如果「中繼憑證」在​ 「開發憑證」之後部署/更新,它也會為dev.example.com提供要求。

      若要避免這類衝突,請確保將憑證的適用範圍仔細限定到其預期的網域。

  • 萬用字元憑證:

    雖然支援萬用字元憑證(例如*.example.com),但只有在必要時才應該使用。 在重疊的情況下,以更具體的憑證優先。 例如,特定憑證提供dev.example.com,而非萬用字元(*.example.com)。

  • 驗證和疑難排解:
    嘗試使用Cloud Manager安裝憑證之前,Adobe建議您使用openssl等工具在本機驗證憑證的完整性。 例如,

    openssl verify -untrusted intermediate.pem certificate.pem