快速申请和使用纯IP的SSL证书
操作场景
- 云证书管理服务(Cloud Certificate Manager,CCM)提供IP证书,即绑定IP地址提供加密保障的证书。如果您需要保护IP地址网站实现HTTPS加密,且IP地址是公网IP地址,则可在SSL证书中申请纯IP证书。纯IP的SSL证书适用于中小企业的网站、APP应用、小程序等。
- 目前,GlobalSign、DigiCert、GeoTrust、CFCA、TrustAsia、vTrus品牌(OV类型)提供纯IP证书,支持申请绑定1个IP的证书。
- 本指南指导您通过云证书管理服务快速申请和使用IP证书。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
注册华为账号并开通华为云,实名认证,为账户充值,以及为IAM用户授权。 |
|
|
配置SSL证书的购买参数,购买IP证书。 |
|
|
成功购买证书后,为证书绑定域名、填写证书申请人的详细信息并提交审核。 |
|
|
证书提交申请后,配置域名验证信息,进行域名授权验证,来证明您对所申请绑定的域名的所有权。 |
|
|
域名验证完成后,配合CA机构确认企业/组织是否发起了此次的证书订单申请。 |
|
|
组织验证完成后,CA机构将人工审核证书信息,审核通过后,将会签发证书。 |
|
|
证书申请完成后,您可以根据业务需要一键部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 |
准备工作
- 注册账号并实名认证。
在购买证书之前,请先注册华为账号并开通华为云、实名认证。
- 请保证账户有足够的资金,以避免购买证书失败。具体操作请参见账户充值。
- 请确保购买证书的账号拥有“SCM Administrator”/“SCM FullAccess”、“BSS Administrator”和“DNS Administrator”权限。
- BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。项目级角色,在同项目中勾选。
- DNS Administrator:云解析服务(DNS)的所有执行权限。
具体操作请参见权限管理。
步骤一:购买SSL证书
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书管理页面右上角,单击“购买证书”,进入购买证书页面。
- 在购买证书页面,配置“服务类型”、“证书品牌”、“有效期”、“企业项目”和“购买量”,参数配置后如图1所示。
表1 购买IP证书参数设置 参数
示例
说明
服务类型
SSL证书-IP证书
-
证书品牌
GeoTrust
CCM支持的证书品牌包括“GeoTrust”、“DigiCert”、“GlobalSign”、“CFCA(国产)”、“TrustAsia(国产)”和“vTrus(国产)”。
各品牌支持签发的证书类型,请参见证书品牌。
有效期
1年
根据需求选择SSL证书的有效期,购买周期越长,享受的折扣越大。
企业项目
default
仅当使用企业类型的账号购买SSL证书时,会显示该参数。
用于按项目统一管理云资源。
购买量
1个
根据实际需求设置数值。
标签
暂不添加
标签用于标识SSL证书,方便分类及管理云资源。
- 确认参数配置无误后,在页面右下角,单击“立即购买”。
- 确认订单无误后,阅读并勾选“我已阅读并同意《云证书管理服务(CCM)免责声明》”,单击“去支付”。
- 在购买页面,请选择付款方式进行付款。
成功付款后,可以在,查看已购买的证书。
步骤二:申请SSL证书
成功购买证书后,您需要申请证书,即为证书绑定公网IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书列表待申请证书所在行的“操作”列,单击“申请证书”,系统从右侧弹出申请证书详细页面。
图2 申请证书
- 在弹出申请证书详细页面中,填写域名、企业组织和申请人等信息,参数填写说明请参见提交SSL证书申请。
图3 申请证书详细页面
- 确认填写信息无误后,阅读《云证书管理服务(CCM)免责声明》、《隐私政策声明》和信息授权声明,并勾选声明内容前面的勾选框。
- 单击“提交申请”。
系统会将您的申请提交到CA认证机构,请您保持电话畅通,并及时查阅邮箱中来自CA认证机构的电子邮件。
步骤三:文件验证
按照CA中心的规范,如果您申请了SSL证书,则必须完成域名验证(又称验证域名所有权)来证明待申请证书要绑定的域名属于您。目前,纯IP的SSL证书验证方式仅支持文件验证,即您手动从SCM控制台获取证书验证文件,然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问,则表示验证通过。
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书列表中待申请证书所在行的“操作”列,单击“域名验证”,系统从右侧弹出域名验证详细页面。
图4 单击“域名验证”
- 在证书的域名验证页面,查看“记录值”。
如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)查看“记录值”。
图5 文件验证
- 登录您的服务器,在网站根目录下,创建指定的文件,具体操作请参见文件验证。
- 查看验证配置是否生效,具体操作请参见文件验证。
文件验证操作完成后,CA机构需要2-3个工作日对您提交的信息进行验证,请您耐心等待。审核通过后才可以进行下一步“组织验证”。
步骤四:组织验证
- 13个月内再次购买同一品牌的证书且信息无更改,将免组织验证即人工审核。
- 组织验证完成后,CA机构将还需要一段时间进行处理,请您耐心等待。
- 登录您在申请证书时填写的联系人邮箱。
- 打开来自CA机构的组织验证邮件。
- 回复CA机构的邮件以选择组织验证方式。
- 请您留意所选择的验证方式,配合CA机构进行处理。
步骤五:签发SSL证书
SSL证书审核时间取决于您和CA机构之间的配合。CA机构将通过您预留的邮箱和电话与您进行联系,请留意您在申请证书时预留的邮箱和电话。
一般情况下,对于OV型SSL证书在确认完成组织验证后,CA机构将人工审核信息,在信息正确的情况下审核周期一般为3~5个工作日。CA机构审核通过后,将会签发证书,证书签发后便立即生效,OV型SSL证书申请完成。
部署证书操作请参见部署证书到云产品。
下载证书操作请参见下载证书。
