证书托管
使用场景
如果您需要通过HTTPS的方式访问桶的自定义域名,那么您需要为自定义域名配置对应的证书。在 HTTPS 协议中,数字证书是确保通信安全、数据完整性和身份验证的核心组件,其重要性主要体现在以下几个方面:
- 身份验证,确保服务器身份可信。可防止中间人攻击,通过证书验证服务器的真实身份,避免用户连接到伪造的钓鱼网站。在某些场景(如企业内部系统)中,还可以借助证书进行Https双向验证,要求客户端提供证书,实现服务器对客户端的身份验证,进一步增强安全性。
- 数据加密,保护通信内容机密性。建立加密通道,确保客户端与服务器之间传输的数据(如密码、信用卡信息、聊天内容等)被加密,即使被截获也无法读取。
- 数据完整性,防止内容被篡改。在数据传输过程中,HTTPS通过哈希函数(如 SHA-256)生成消息摘要,并使用会话密钥加密,确保数据在传输中未被中间人篡改或替换。
功能介绍
OBS支持配置国际通用证书。您可以在配置自定义域名时,同时配置HTTPS证书,具体请参见配置自定义域名。也可以在配置自定义域名后,配置HTTPS证书,详细操作详见配置自定义域名的HTTPS证书。
约束与限制
- OBS仅支持自定义域名托管HTTPS证书。
- 支持的区域请参见功能总览的“自定义域名”中的支持区域。
- 仅支持普通证书,不支持国密证书。
- 支持配置HTTPS证书时,每个桶最多支持配置100个自定义域名。
证书格式要求
证书包含两部分:证书文件、证书私钥。
SCM证书的“证书文件”格式均需按以下要求。
证书文件包含证书的公钥和签名等信息,证书扩展名为“.pem”或“.crt”。
- 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
- 证书之间不能有空行,每行64字符,最后一行不超过64字符。
示例如下:
-----BEGIN CERTIFICATE----- MIIDIjCCAougAwIBAgIJALV96mEtVF4EMA0GCSqGSIb3DQEBBQUAMGoxCzAJBgNV BAYTAnh4MQswCQYDVQQIEwJ4eDELMAkGA1UEBxMCeHgxCzAJBgNVBAoTAnh4MQsw CQYDVQQLEwJ4eDELMAkGA1UEAxMCeHgxGjAYBgkqhkiG9w0BCQEWC3h4eEAxNjMu Y29tMB4XDTE3MTExMzAyMjYxM1oXDTIwMTExMjAyMjYxM1owajELMAkGA1UEBhMC eHgxCzAJBgNVBAgTAnh4MQswCQYDVQQHEwJ4eDELMAkGA1UEChMCeHgxCzAJBgNV BAsTAnh4MQswCQYDVQQDEwJ4eDEaMBgGCSqGSIb3DQEJARYLeHh4QDE2My5jb20w gZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMU832iM+d3FILgTWmpZBUoYcIWV cAAYE7FsZ9LNerOyjJpyi256oypdBvGs9JAUBN5WaFk81UQx29wAyNixX+bKa0DB WpUDqr84V1f9vdQc75v9WoujcnlKszzpV6qePPC7igJJpu4QOI362BrWzJCYQbg4 Uzo1KYBhLFxl0TovAgMBAAGjgc8wgcwwHQYDVR0OBBYEFMbTvDyvE2KsRy9zPq/J WOjovG+WMIGcBgNVHSMEgZQwgZGAFMbTvDyvE2KsRy9zPq/JWOjovG+WoW6kbDBq MQswCQYDVQQGEwJ4eDELMAkGA1UECBMCeHgxCzAJBgNVBAcTAnh4MQswCQYDVQQK EwJ4eDELMAkGA1UECxMCeHgxCzAJBgNVBAMTAnh4MRowGAYJKoZIhvcNAQkBFgt4 eHhAMTYzLmNvbYIJALV96mEtVF4EMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEF BQADgYEAASkC/1iwiALa2RU3YCxqZFEEsZZvQxikrDkDbFeoa6Tk49Fnb1f7FCW6 PTtY3HPWl5ygsMsSy0Fi3xp3jmuIwzJhcQ3tcK5gC99HWp6Kw37RL8WoB8GWFU0Q 4tHLOjBIxkZROPRhH+zMIrqUexv6fsb3NWKhnlfh1Mj5wQE4Ldo= -----END CERTIFICATE-----
SCM证书的“证书私钥”格式均需按以下要求。
私钥扩展名为“.key”,需注意必须是无密码的私钥,私钥内容格式为:
- 符合PEM格式,如下示例:
- 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
- 私钥之间不能有空行,每行64字符,最后一行不超过64字符。
示例如下:
-----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDFPN9ojPndxSC4E1pqWQVKGHCFlXAAGBOxbGfSzXqzsoyacotu eqMqXQbxrPSQFATeVmhZPNVEMdvcAMjYsV/mymtAwVqVA6q/OFdX/b3UHO+b/VqL o3J5SrM86Veqnjzwu4oCSabuEDiN+tga1syQmEG4OFM6NSmAYSxcZdE6LwIDAQAB AoGBAJvLzJCyIsCJcKHWL6onbSUtDtyFwPViD1QrVAtQYabF14g8CGUZG/9fgheu TXPtTDcvu7cZdUArvgYW3I9F9IBb2lmF3a44xfiAKdDhzr4DK/vQhvHPuuTeZA41 r2zp8Cu+Bp40pSxmoAOK3B0/peZAka01Ju7c7ZChDWrxleHZAkEA/6dcaWHotfGS eW5YLbSms3f0m0GH38nRl7oxyCW6yMIDkFHURVMBKW1OhrcuGo8u0nTMi5IH9gRg 5bH8XcujlQJBAMWBQgzCHyoSeryD3TFieXIFzgDBw6Ve5hyMjUtjvgdVKoxRPvpO kclc39QHP6Dm2wrXXHEej+9RILxBZCVQNbMCQQC42i+Ut0nHvPuXN/UkXzomDHde h1ySsOAO4H+8Y6OSI87l3HUrByCQ7stX1z3L0HofjHqV9Koy9emGTFLZEzSdAkB7 Ei6cUKKmztkYe3rr+RcATEmwAw3tEJOHmrW5ErApVZKr2TzLMQZ7WZpIPzQRCYnY 2ZZLDuZWFFG3vW+wKKktAkAaQ5GNzbwkRLpXF1FZFuNF7erxypzstbUmU/31b7tS i5LmxTGKL/xRYtZEHjya4Ikkkgt40q1MrUsgIYbFYMf2 -----END RSA PRIVATE KEY-----
后续操作
自定义域名的HTTPS证书配置完成后,可以通过“https+自定义域名”的方式访问OBS桶。