更新时间:2025-08-07 GMT+08:00
分享

证书托管

使用场景

如果您需要通过HTTPS的方式访问桶的自定义域名,那么您需要为自定义域名配置对应的证书。在 HTTPS 协议中,数字证书是确保通信安全、数据完整性和身份验证的核心组件,其重要性主要体现在以下几个方面:

  • 身份验证,确保服务器身份可信。可防止中间人攻击,通过证书验证服务器的真实身份,避免用户连接到伪造的钓鱼网站。在某些场景(如企业内部系统)中,还可以借助证书进行Https双向验证,要求客户端提供证书,实现服务器对客户端的身份验证,进一步增强安全性。
  • 数据加密,保护通信内容机密性。建立加密通道,确保客户端与服务器之间传输的数据(如密码、信用卡信息、聊天内容等)被加密,即使被截获也无法读取。
  • 数据完整性,防止内容被篡改。在数据传输过程中,HTTPS通过哈希函数(如 SHA-256)生成消息摘要,并使用会话密钥加密,确保数据在传输中未被中间人篡改或替换。

功能介绍

OBS支持配置国际通用证书。您可以在配置自定义域名时,同时配置HTTPS证书,具体请参见配置自定义域名。也可以在配置自定义域名后,配置HTTPS证书,详细操作详见配置自定义域名的HTTPS证书

约束与限制

  • OBS仅支持自定义域名托管HTTPS证书。
  • 支持的区域请参见功能总览的“自定义域名”中的支持区域。
  • 仅支持普通证书,不支持国密证书。
  • 支持配置HTTPS证书时,每个桶最多支持配置100个自定义域名。

证书格式要求

证书包含两部分:证书文件、证书私钥

SCM证书的“证书文件”格式均需按以下要求。

证书文件包含证书的公钥和签名等信息,证书扩展名为“.pem”或“.crt”。

  • 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
  • 证书之间不能有空行,每行64字符,最后一行不超过64字符。

示例如下:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

SCM证书的“证书私钥”格式均需按以下要求。

私钥扩展名为“.key”,需注意必须是无密码的私钥,私钥内容格式为:

  • 符合PEM格式,如下示例:
    • 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
  • 私钥之间不能有空行,每行64字符,最后一行不超过64字符。

示例如下:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

配置自定义域名的HTTPS证书

OBS支持通过控制台、API方式配置自定义域名HTTPS证书,不支持通过SDK、OBS Browser+、obsutil方式配置自定义域名HTTPS证书。

后续操作

自定义域名的HTTPS证书配置完成后,可以通过“https+自定义域名”的方式访问OBS桶。

相关文档