边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • Configuring Web Protection Policy
    • 托管规则
    • CC 攻击防护
    • Bandwidth Abuse Protection
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • Mutual Authentication
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
    • Refer
      • Using OpenSSL to Generate Self-Signed Certificates
      • Certificate Format Requirements
    • Using Keyless Certificate
文档概览/
边缘安全/
SSL/TLS/
Refer/
Certificate Format Requirements/

Certificate Format Requirements

如果您的证书是由根 CA 机构颁发,您将获得一份唯一的证书。无需额外证书,配置的站点便可被浏览器等访问设备视为可信。
如果您的证书是由中级 CA 机构颁发,您将收到包含多份证书的文件。您需要手动将中间根证书和根证书按顺序拼接后上传。拼接规则是:先放中间根证书,其次放根证书,两者之间不留空行。
说明:
一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅。

CA 证书格式和证书链格式范例

如下为证书格式和证书链格式范例,请确认格式正确后上传:
1. 根 CA 机构颁发的证书,以 PEM 格式为例,样例如下:

证书格式为:
——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-开头和结尾。
每行 64 字符,最后一行不超过64字符。
2. 如果证书由中级机构颁发,CA 证书需要包含多级证书链,证书链结构如下所示:
-----BEGIN CERTIFICATE-----
CA 中间证书机构
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA 根证书机构
-----END CERTIFICATE-----
证书链规则为:
证书之间不能有空行。
每一份证书遵循上文的证书格式要求。

证书转换为 PEM 格式说明

通常情况下,HTTPS 证书使用 PEM 格式,其他格式的证书需要转换成 PEM 格式时,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。
DER 转换为 PEM
P7B 转换为 PEM
PFX 转换为 PEM
CER/CRT 转换为 PEM
DER 格式一般出现在 Java 平台中。 证书转换:
openssl x509 -inform der -in certificate.cer -out certificate.pem
私钥转换:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B 格式一般出现在 Windows Server 和 tomcat 中。 证书转换:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
获取 outcertificat.cer 里面——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-的内容作为证书上传。 私钥转换:私钥一般在 IIS 服务器里可导出。
PFX 格式一般出现在 Windows Server 中。 证书转换:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
私钥转换:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
```
对于 CER/CRT 格式的证书,您可通过直接修改证书文件扩展名的方式进行转换。例如,将 “servertest.crt” 证书文件直接重命名为 “servertest.pem” 即可。