动态与公告

产品动态

产品公告

产品简介

产品概述

产品优势

使用场景

技术原理

产品对比

使用约束

Service Regions and Service Providers

购买指南

计费概述

计费项

CLB 资源包

购买方式

欠费说明

产品属性选择

快速入门

域名化负载均衡快速入门

负载均衡快速入门

IPv6 负载均衡快速入门

CentOS 下部署 Nginx

CentOS 下部署 Java Web

操作指南

负载均衡实例

负载均衡监听器

后端服务器

健康检查

证书管理

日志管理

监控告警

访问管理

传统型负载均衡

实践教程

部署证书到负载均衡（双向认证）

负载均衡开启 Gzip 配置及检测方法说明

HTTPS 转发配置入门指南

如何获取客户端真实 IP

负载均衡配置监控告警最佳实践

产品高可用说明

均衡算法选择与权重配置示例

配置 WAF 对负载均衡的监听域名进行 Web 安全防护

配置 IAP 对负载均衡的域名和路径的web访问进行身份验证

配置 IAP 对负载均衡的域名和路径的程序化访问进行身份验证

运维指南

客户端 timewait 过多解决方案

负载均衡HTTPS服务性能测试

压力测试常见问题

CLB 证书操作权限问题

故障处理

UDP 健康检查出现异常

API 文档

History

Introduction

API Category

Instance APIs

Listener APIs

Backend Service APIs

Target Group APIs

Redirection APIs

Other APIs

Classic CLB APIs

Load Balancing APIs

Making API Requests

Data Types

Error Codes

CLB API 2017

常见问题

计费相关

负载均衡配置相关

健康检查异常排查

HTTPS 相关

WS/WSS 协议支持相关

HTTP/2 协议支持相关

默认域名阻断提示

服务等级协议

联系我们

词汇表

证书要求及转换证书格式

PDF

聚焦模式

字号

最后更新时间： 2021-07-21 10:37:45

本文介绍 SSL 证书要求及证书格式转换说明。
常用证书申请流程
1. 使用 OpenSSL 工具在本地生成私钥文件，其中 privateKey.pem 为您的私钥文件，请妥善保管。
openssl genrsa -out privateKey.pem 2048
2. 使用 OpenSSL 工具生成证书请求文件，其中 server.csr 是您的证书请求文件，可用于申请证书。
openssl req -new -key privateKey.pem -out server.csr
3. 获取证书请求文件中的内容前往 CA 等机构站点申请证书。
证书格式要求
用户要申请的证书为：Linux 环境下 PEM 格式的证书。负载均衡不支持其他格式的证书，如其它格式的证书请参见下文 证书转换为 PEM 格式说明 的内容。
如果是通过 root CA 机构颁发的证书，您拿到的证书为唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。
如果是通过中级 CA 机构颁发的证书，您拿到的证书文件包含多份证书，需要人为的将服务器证书与中间证书合并在一起上传。
当您的证书有证书链时，请将证书链内容，转化为 PEM 格式内容，与证书内容合并上传。
拼接规则为：服务器证书放第一份，中间证书放第二份，中间不要有空行。
说明：
一般情况下，机构在颁发证书的时候会有对应说明，请注意查阅。
证书格式和证书链格式范例
如下为证书格式和证书链格式范例，请确认格式正确后上传：
1. root CA 机构颁发的证书：证书格式为 Linux 环境下 PEM 格式。样例如下：
﻿

证书规则为：
[——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 开头和结尾；请将这些内容一并上传。
每行64字符，最后一行不超过64字符。
2. 中级机构颁发的证书链：
——-BEGIN CERTIFICATE——-
——-END CERTIFICATE——-
——-BEGIN CERTIFICATE——-
——-END CERTIFICATE——-
——-BEGIN CERTIFICATE——-
——-END CERTIFICATE——-
 证书链规则为：
证书之间不能有空行。
每一份证书遵循上文的证书格式要求。
RSA 私钥格式要求
样例如下：
﻿

RSA 私钥可以包括所有私钥（RSA 和 DSA）、公钥（RSA 和 DSA）和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据，用 ASCII 报头包围，因此适合系统之间的文本模式传输。
RSA 私钥规则：
[——-BEGIN RSA PRIVATE KEY——-, ——-END RSA PRIVATE KEY——-] 开头结尾，请将这些内容一并上传。
每行64字符，最后一行长度可以不足64字符。
如果您不是按照上述方案生成 [——-BEGIN PRIVATE KEY——-, ——-END PRIVATE KEY——-] 这种格式的可用私钥，您可以按照如下方式转换成可用私钥：
openssl rsa -in old_server_key.pem -out new_server_key.pem
然后将 new_server_key.pem 的内容与证书一起上传。
证书转换为 PEM 格式说明
目前负载均衡只支持 PEM 格式的证书，其他格式的证书需要转换成 PEM 格式后才能上传到负载均衡中，建议通过 openssl  工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。
DER 转换为 PEM
P7B 转换为 PEM
PFX 转换为 PEM
CER/CRT 转换为 PEM
DER 格式一般出现在 Java 平台中。
证书转换：
openssl x509 -inform der -in certificate.cer -out certificate.pem
私钥转换：
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B 格式一般出现在 Windows Server 和 tomcat 中。
证书转换：
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
获取 outcertificat.cer 里面 [——-BEGIN CERTIFICATE——-， ——-END CERTIFICATE——-] 的内容作为证书上传。
私钥转换：私钥一般在 IIS 服务器里可导出。
PFX 格式一般出现在 Windows Server 中。
证书转换：
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
私钥转换：
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
```	
对于 CER/CRT 格式的证书，您可通过直接修改证书文件扩展名的方式进行转换。例如，将 “servertest.crt” 证书文件直接重命名为 “servertest.pem” 即可。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

负载均衡

证书要求及转换证书格式

常用证书申请流程

证书格式要求

RSA 私钥格式要求

证书转换为 PEM 格式说明

帮助和支持