为什么需要导入证书?
证书主要指HTTPS访问请求所使用的证书,通过使用HTTPS证书能够保证用户请求的安全性。
证书的主要原理是,用户请求通过第三方颁发的可信证书中的公钥对会话进行加密和签名,从而保证用户本身的信息以及用户所访问服务器的可信性,服务器端接收到用户通过公钥加密发送的请求和签名后,再通过私钥进行解密,从而验证用户本身的可信性。
WAF需要导入所防护域名的证书和私钥,从而完成对客户请求的认证,以及通过HTTPS的安全请求方式将用户的请求转发回源站。故在使用过程中,需要Web业务管理员将Web服务的证书及对应的私钥导入到WAF中,从而实现客户对Web业务的安全访问。
配置泛域名时,如何选择证书?
域名和证书需要一一对应,泛域名只能使用泛域名证书。如果您没有泛域名证书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进行防护。
并且泛域名与证书必须是同级匹配,例如您的泛域名是*.b.ctyun.cn,则泛域名证书必须为*.b.ctyun.cn,不能是*.ctyun.cn或*.a.b.ctyun.cn。
如何更新已绑定域名的证书?
- 登录Web应用防火墙(原生版)管理控制台。
- 在左侧导航栏选择“域名接入”,进入域名列表页。
- 定位到需要更新证书的域名,单击操作列的“详情”,进入域名详情页。
- 单击“协议及端口”后的“设置”,在弹出的对话框中点击“证书更新”,即可重新填写证书内容或上传新的证书文件。
如何将非PEM编码格式的证书转换为PEM编码格式?
当前WAF仅支持PEM编码格式的证书,如果证书为非PEM编码格式,请参考下表将本地证书转换为PEM格式,再上传。
格式类型 转换方式 PFX
提取私钥命令,以“cert.pfx”转换为“key.pem”为例。
openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes
提取证书命令,以“cert.pfx”转换为“cert.pem”为例。
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
P7B
证书转换,以“cert.p7b”转换为“cert.cer”为例。
openssl pkcs7 -print_certs -in cert.p7b -out cert.cer
将“cert.cer”证书文件直接重命名为“cert.pem”。
DER
提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
提取证书命令,以“cert.cer”转换为“cert.pem”为例。
openssl x509 -inform der -in cert.cer -out cert.pem
