更新时间:2026-07-10 GMT+08:00
分享

证书托管

使用场景

如果您需要通过HTTPS的方式访问桶的自定义域名,那么您需要为自定义域名配置对应的证书。在 HTTPS 协议中,数字证书是确保通信安全、数据完整性和身份验证的核心组件,其重要性主要体现在以下几个方面:

  • 身份验证,确保服务器身份可信。可防止中间人攻击,通过证书验证服务器的真实身份,避免用户连接到伪造的钓鱼网站。在某些场景(如企业内部系统)中,还可以借助证书进行Https双向验证,要求客户端提供证书,实现服务器对客户端的身份验证,进一步增强安全性。
  • 数据加密,保护通信内容机密性。建立加密通道,确保客户端与服务器之间传输的数据(如密码、信用卡信息、聊天内容等)被加密,即使被截获也无法读取。
  • 数据完整性,防止内容被篡改。在数据传输过程中,HTTPS通过哈希函数(如 SHA-256)生成消息摘要,并使用会话密钥加密,确保数据在传输中未被中间人篡改或替换。

工作原理

HTTPS协议通过TLS/SSL加密机制实现客户端到服务器的端到端数据加密,同时通过证书验证服务器身份,确保数据传输的机密性、完整性以及数据发送方的身份正确。

使用HTTPS协议访问OBS,需要根据访问域名的不同配置有效的SSL证书:

  • 桶默认域名:格式为bucketname.obs.regionid.myhuaweicloud.com,由华为云统一管理SSL证书,默认支持HTTPS访问,无需额外配置,直接使用“https://”前缀访问即可。
  • 自定义域名:需要您在为桶配置自定义域名时,同时配置证书,详情请参见配置自定义域名;也可以在配置自定义域名后,配置证书,详情请参见配置自定义域名的HTTPS证书

    OBS支持配置国际通用证书。

  • CDN加速域名:如果为桶配置了CDN加速域名,需要配置证书,详情请参见HTTPS配置

约束与限制

  • OBS仅支持自定义域名托管HTTPS证书。
  • 仅支持普通证书,不支持国密证书。
  • 不支持仅配置CA证书,配置CA证书前请至少配置一张国际证书。
  • 每个自定义域名最多支持配置一张国际证书和一张CA证书。
  • 支持配置HTTPS证书时,每个桶最多支持配置100个自定义域名。

费用说明

为域名配置证书实现使用HTTPS协议访问OBS,涉及证书购买费用,在华为云购买证书的费用,请参见CCM计费项

证书格式要求

证书包含两部分:证书文件、证书私钥

SCM证书的“证书文件”格式均需按以下要求。

证书文件包含证书的公钥和签名等信息,证书扩展名为“.pem”或“.crt”。

  • 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
  • 证书之间不能有空行,每行64字符,最后一行不超过64字符。

示例如下:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

SCM证书的“证书私钥”格式均需按以下要求。

私钥扩展名为“.key”,需注意必须是无密码的私钥,私钥内容格式为:

  • 符合PEM格式,如下示例:
    • 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
  • 私钥之间不能有空行,每行64字符,最后一行不超过64字符。

示例如下:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

配置自定义域名的HTTPS证书

OBS支持通过管理控制台、API、SDK、obsutil方式配置自定义域名HTTPS证书,不支持通过OBS Browser+方式配置自定义域名HTTPS证书。

使用HTTPS访问对象

为自定义域名配置HTTPS后,就可以通过浏览器验证是否可以使用HTTPS协议通过自定义域名访问对象。OBS支持通过管理控制台、SDK方式使用HTTPS协议通过自定义域名访问对象,不支持通过API、OBS Browser+、obsutil方式使用HTTPS协议通过自定义域名访问对象。

强制客户端使用HTTPS协议访问OBS

在某些对数据传输安全有严格要求的场景,可以通过配置桶策略来拒绝所有客户端的HTTP请求,防止数据在传输过程中被窃取或篡改。

  1. OBS管理控制台左侧导航栏选择“桶列表”
  2. 在桶列表中,单击待操作的桶,进入“对象”页面。
  3. 在左侧导航栏,单击“权限控制 > 桶策略”。
  4. 单击“创建”。
  5. 配置桶策略。

    图3 配置桶策略
    表3 自定义桶策略参数配置说明

    参数

    示例

    说明

    策略配置方式

    可视化视图

    支持可视化视图和JSON视图。此处以可视化视图为例,JSON视图的说明请参见自定义创建桶策略(JSON视图)

    策略名称

    deny_http

    输入自定义桶策略的名称。

    策略名称不允许为空。

    效力

    拒绝

    • 允许:指定本条桶策略描述的权限为接受请求。
    • 拒绝:指定本条桶策略描述的权限为拒绝请求。

    被授权用户

    所有账号

    • 所有账号:表示桶策略授权给互联网上的所有人。
    • 当前账号:可以选择当前账号下的一个或多个IAM子用户。
      注意:

      当被授权用户选择“当前账号”时,需要您的账号具有“iam:users:listUsers”权限才能列举出当前账号下的IAM用户来供您选择。授权操作需要先创建自定义策略,然后给IAM用户授权

    • 其他账号:可以设置一个或多个其他账号。
      • 账号ID和IAM子用户ID可在“我的凭证”页面获取。
      • 账号ID/*表示授权给账号下的所有用户。
      • 可授权给多个账号,单击下方的“添加其他账号”即可添加。
      • IAM用户ID或名称填写*,表示授权给账号下的所有用户。
    • 委托账号:可以设置一个或多个委托账号。

      可授权给多个委托账号,单击下方的“添加委托账号”即可添加。

    授权资源

    整个桶(包括桶内对象)

    • 整个桶(包括桶内对象):表示整个桶及桶内所有对象,可以在动作中配置桶和对象相关动作。
    • 当前桶:表示当前桶,可以在动作中配置桶相关动作。
    • 指定对象:表示桶内指定对象,可以在动作中配置对象相关动作。
      • 指定对象支持输入多个资源路径。
      • 资源路径输入格式:文件夹/对象名,例如“testdir/a.txt”。如果您想要指定文件夹及文件夹下所有对象,可以输入“testdir/*”。
      • 您可以指定资源路径为具体对象、对象集或目录,*表示桶内所有对象。
        • 如果指定某个对象:请输入对象名称。
        • 如果指定某个对象集:请输入“对象名称前缀*”、“*对象名后缀”或“*”。例如,”testdir/*”为指定testdir文件夹下的对象,“testprefix*”为指定前缀为testprefix的对象。

    授权操作

    自定义配置

    动作选择“*”

    配置该桶策略授权的操作,支持使用模板配置和自定义配置。
    • 模板配置:OBS预置了多种常用典型场景的桶策略模板,帮助您快速完成桶策略配置。详情请参见使用模板创建桶策略
    • 自定义配置:用户自定义选择授权操作。选择“自定义配置”后,还需要选择动作。
      选择动作:详细的动作信息请参见桶策略参数说明
      说明:
      • 如果“授权资源”仅选择“整个桶(包括桶内对象)”,可选择配置“通用动作”、“桶动作”和“对象动作”。
      • 如果“授权资源”仅选择“当前桶”,可选择配置“通用动作”和“桶动作”。
      • 如果“授权资源”仅选择“指定对象”,可选择配置“通用动作”和“对象动作”。
      • 如果“授权资源”同时选择“当前桶”和“指定对象”,可选择配置“通用动作”、“桶动作”和“对象动作”。

    授权条件(可选)

    键:SecureTransport

    限定词:default

    条件运算符:Bool

    值:false

    可选参数。用于指定桶策略生效的条件。

  6. 单击界面右下角的“创建”,完成桶策略创建。

也可以使用JSON格式配置桶策略拒绝所有客户端的HTTP请求:

{
    "Statement": [
        {
            "Sid": "deny_http",
            "Effect": "Deny",
            "Principal": {
                "ID": [
                    "*"
                ]
            },
            "Action": [
                "*"
            ],
            "Resource": [
                "dfhjhkmk",
                "dfhjhkmk/*"
            ],
            "Condition": {
                "Bool": {
                    "SecureTransport": [
                        "false"
                    ]
                }
            }
        }
    ]
}

证书生命周期管理

关闭HTTPS访问

OBS支持通过管理控制台、API、SDK、obsutil方式关闭桶的自定义域名HTTPS配置,不支持通过OBS Browser+方式关闭桶的自定义域名HTTPS配置。

相关文档

相关文档