文档首页/ iMasterCloud/ 用户指南/ MSP操作/ 服务使用/ 系统管理/ 证书管理/ 更新证书/ 在线更新证书
更新时间:2025-11-28 GMT+08:00
查看PDF
分享

在线更新证书

前提条件

  • 已成功配置对接CA服务器。
  • 已具备“查询证书更新任务”和“管理证书更新任务”操作权限。
  • 已获取需要更新证书的相关信息,例如“证书格式”、“常用名(CN)”、“国家/地区(C)”、“省份/州(ST)”、“城市(L)”、“公司(O)”、“部门(OU)”、“邮箱 (E)”、“有效期”、“密钥算法”、“密钥长度”、“使用者备用名称(SAN)”、“证书类型”、“密钥用途”和“扩展密钥用途”。

背景信息

  • iMasterCloud系统时间与CA服务器的时间相差小于5分钟,否则会导致申请证书失败。
  • 申请证书的有效期由用户自定义的有效期、CA使用的根证书有效期、CA支持的最大有效期和CA支持的申请模板的有效期共同决定。一般情况下,有效期小于等于CA支持的最大有效期和CA支持的申请模板的有效期,具体规格由对接的CA决定。
  • 当前证书管理支持的证书格式、密钥算法、密钥长度、证书类型、密钥用途和扩展密钥用途及其说明如表1所示。
  • 查看证书有效期,具体可参见《管理员指南》中“查看运维面证书有效期”章节。
    表1 证书信息

    参数名称

    参数说明

    证书格式

    证书的格式。

    • PEM
    • PKCS12

    密钥算法

    证书的密钥算法。

    • RSA
    • ECDSA

    密钥长度
    • RSA证书密钥长度:
      • 8192
      • 6144
      • 4096
      • 3072
      • 2048
      说明:

      RSA(2048位以下)为不安全的加密算法,建议使用RSA(3072位及以上)加密算法的证书。

    • ECDSA证书密钥长度:
      • 521
      • 384
      • 256

    证书类型

    证书的使用类型。

    • 终端实体证书:不需要使用证书所对应的密钥签发证书时选择该类型。
    • 代理证书:需要使用所对应的密钥签发证书时选择该类型。

    密钥用途

    证书密钥的用途。

    • 数字签名:证书需要进行身份验证和数据完整性验证时选择该用途。
    • 防止抵赖:证书需要用公钥校验数字签名来提供防止抵赖(签名实体否认其请求)时选择该用途。
    • 密钥加密:证书需要使用加密协议时选择该用途。
    • 数据加密:证书需要加密其应用数据时选择该用途。
    • 密钥协商:用于发送端和接收端通过明文协商通信时加密数据的公钥。
    • 证书签名:当证书的公钥用于验证证书签名时选择该用途。只能是代理证书使用。
    • CRL签名:当证书的公钥用于验证吊销信息上的签名时选择该用途。
    • 只做加密:当证书启用密钥协议时选择该用途,表示证书的公钥在协商时只用于加密数据。
    • 只做解密:当证书启用密钥协议时选择该用途,表示证书的公钥在协商时只用于解密数据。

    扩展密钥用途

    证书扩展密钥的用途。

    • 服务器验证:TLS WWW 服务器认证,当密钥用途中有数字签名、密钥加密或密钥协商时使用该用途。
    • 客户端验证:TLS WWW 客户端认证,当密钥用途中有数字签名或密钥协商时使用该用途。
    • 邮件验证:邮件保护,当密钥用途中有数字签名、防止抵赖、密钥加密或密钥协商时使用该用途。

操作步骤

  1. 在admin主菜单中选择系统 > 系统管理 > 证书管理
  2. 在左侧导航树中选择“证书更新 > 在线更新证书”。
  3. 根据实际情况选择更新证书的方式,具体请参见表2

    • 在线申请:支持通过已有证书模板快速申请证书或全新申请证书(身份证书和信任证书)。
    • 向导式更新:支持为已经有身份证书的服务快速更新身份证书。
    表2 申请方式及操作步骤

    方式

    操作步骤

    在线申请
    1. 单击“在线申请”。
    2. 根据实际情况选择在线申请证书的方式。
      • 通过选择已有模板更新任务
        1. (可选)如果需要创建申请证书模板,具体请参考创建申请证书的模板
        2. 从“选择模板”下拉框中选择需要应用的证书申请模板的名称。
        3. 从“CA服务器”下拉框中选择需要应用的CA对接配置名称。
        4. 根据界面和实际需求配置参数信息。
          说明:

          应用已创建的证书申请模板后,也可根据实际需求修改部分参数的值,例如证书申请模板中设置的有效期为5年,创建在线申请证书任务时有效期应该为10年,则可直接在任务界面将有效期设置为10年。

      • 全新更新任务

        根据界面和实际需求配置在线申请证书任务参数。

    3. 单击“确认”。
    4. 在“在线更新证书”列表中,查看新创建任务的任务状态。
      • 申请中:在线申请证书任务正在申请过程中。请刷新浏览器页面,查看任务状态。
      • 成功:在线申请证书任务创建成功。
      • 失败:在线申请证书任务创建失败,请单击“操作”列的,并在弹出的信息提示框中单击“详细信息”,根据详细信息内容处理,如果仍然失败,请联系华为技术支持工程师处理。
    5. 对于申请成功的证书,如果需要提供给各服务使用,请执行5.a~5.c将证书应用到服务。
      1. 单击证书所在行“操作”列的
      2. 根据实际应用情况,勾选对应服务名称。
      3. 单击“确认”。
      4. 在“高危”提示框中,仔细阅读提示信息后,请确认是否需要将证书应用到服务。
        • 是:请勾选“我已明确该操作的风险,确定继续该操作。”,单击“确定”,执行5.e
        • 否:请单击“取消”,结束操作。
      5. 查看将证书是否成功应用到对应服务。

        当提示框中显示“申请证书成功应用到服务。”,说明证书应用到服务成功,单击“确定”。否则,请根据提示框中的提示信息处理。

        说明:

        将证书应用于服务时,证书的身份证书和证书链将会被应用到服务下。

    向导式更新
    1. 单击“向导式更新”。
    2. 输入任务名称,单击“确定”。
    3. 选择需要更新证书的服务,单击“下一步”。
      说明:

      服务列表中的“来源”指证书的来源CA服务器,当值为空时,表示这个服务当前的身份证书是通过非在线申请方式获得的。

    4. (可选)根据需求配置证书的有效期,缺省值为50年。
    5. (可选)根据需要勾选服务,并单击“批量配置CA服务器”,在弹出窗口批量配置所选服务证书对接的CA服务器。
    6. (可选)单击对应服务操作栏的“修改”,在修改页面中根据实际需要配置证书参数并单击“确定”。
    7. 单击“完成”。
    8. 在“高危”提示框中,仔细阅读提示信息后,请确认是否需要更新各服务的证书。
      • 是:请勾选“我已明确该操作的风险,确定继续该操作。”,单击“确定”。
      • 否:请单击“取消”。
    9. 在“在线更新证书”列表中,查看新创建任务的任务状态。
      • 申请中:向导式更新证书任务正在申请过程中。请刷新浏览器页面,查看任务状态。
      • 成功:所有服务的证书均更新成功。
      • 部分成功:部分服务的证书更新成功。
      • 失败:所有服务的证书均更新失败。
      说明:

      若创建任务的状态为“部分成功”或“失败”,请单击对应任务操作列的,在弹出窗口中单击“详情”,根据的详细信息内容处理,如果仍然失败,请联系华为技术支持工程师处理。

相关任务

  • 删除在线更新证书任务

    对于已经创建的在线更新证书任务,单击需要删除的证书更新任务所在行“操作”列的,删除该在线更新证书任务。

    如果当前任务申请的证书已经被应用到服务,不支持删除此任务。

  • 恢复历史证书

    如果证书更新失败、更新为错误的证书或被证书误删除,可通过以下步骤恢复证书。

    1. 在左侧导航树中选择“服务证书管理”。
    2. 在“服务列表”页面,选择需要恢复的证书所属的服务名称。
    3. 单击“身份证书”页签。
    4. 单击“历史证书”。
    5. 在“历史证书”页面,单击需要恢复的证书所在行“操作”列的
父主题: 更新证书

相关文档