更新系统Web证书

操作场景

堡垒机Web证书是验证系统网站身份和安全的SSL（Secure Sockets Layer）证书，遵守SSL协议的服务器数字证书，并由受信任的根证书颁发机构颁发。

堡垒机系统默认配置安全的自签发证书，但受限于自签发证书的认证保护范围和认证保护时间，用户可替换证书。

本小节主要介绍在证书过期或安全扫描不通过时，如何更新证书，确保堡垒机系统安全。

前提条件

• 已获取证书，并下载签发证书。
  

  • 推荐您通过云证书与管理服务（Cloud Certificate & Manager，CCM）购买签发证书，CCM证书申请流程请参见CCM快速入门，下载签发证书后，并转换证书格式为jks格式，具体的操作请参见转换证书格式。
  • 该证书文件大小不超过20KB，且证书文件包含证书密码。
• 上传证书绑定的域名已解析到绑定堡垒机实例的弹性公网IP，具体的操作请参见配置公网域名解析。
• 用户已获取“系统”模块管理权限。

约束与限制

• 目前堡垒机系统只适配Tomcat的Java Keystore格式证书文件，即后缀为jks的证书文件。
• 目前堡垒机系统支持的证书加密算法类型如下：RSA、ECDSA。
• 上传的证书文件大小不超过20KB，且证书文件包含证书密码。无证书密码将不能验证上传证书，SSL证书文件无法上传到系统。

手动更新系统Web证书

1. 登录堡垒机系统。
2. 在左侧导航树，选择“系统 > 系统配置 > 安全配置”，进入安全配置页面。
3. 在“Web证书配置”区域，单击“编辑”，弹出Web证书配置窗口。
4. “更新方式”选择“本地上传”。
5. 上传下载到本地的证书文件。
6. 证书文件上传成功后，输入keystore密码，证书密码验证文件。
7. 单击“确定”，返回安全配置管理页面，查看当前系统Web证书信息。
8. 如果是主备类型的堡垒机，在主堡垒机中更新Web证书后，还需要切换到备堡垒机，参考1到7将Web证书同步更新到备堡垒机中。如果是单机类型的堡垒机，可忽略此步骤。
   1. 在主堡垒机中，选择“系统 > 系统维护 > 系统管理”。
   2. 在“系统工具”区域，单击“重启”右侧的“重启”。

      重启后，将切换到备堡垒机。

开启系统Web证书自动轮换

为了确保系统的安全性和稳定性，通常需要定期更换安全证书。然而，手动更换证书不仅耗时耗力，还可能因为操作不当导致服务中断。开启证书轮换后，堡垒机系统将在证书过期前自动生成一个自签名证书并覆盖当前证书，保障系统安全。

如果是主备类型的堡垒机，开启主堡垒机的证书轮换后，无需额外操作，备堡垒机也会自动定期轮换。

1. 登录堡垒机系统。
2. 在左侧导航树，选择“系统 > 系统配置 > 安全配置”，进入安全配置页面。
3. 在“Web证书配置”区域，单击“编辑”，弹出Web证书配置窗口。
4. “更新方式”选择“证书轮换”。
5. 单击“确定”。

常见问题

如果更新了证书，系统还是提示证书不安全，请参考部署了SSL证书后，为什么网站仍然提示不安全排查解决。