管理Web服务端证书
Web服务端证书用于客户端浏览器和Web服务器之间的通讯,实现数据信息在客户端和Web服务器之间的加密传输,可以防止数据信息的泄露。为提高安全性,建议替换成自己的证书,并及时更新证书,保证证书的有效性。
前提条件
已成功登录鲲鹏DevKit。
只有管理员(devadmin)可以执行生成CSR文件、导入Web服务器证书、下载根证书,重启和更换工作密钥的操作,普通用户仅能查看证书信息。
查看当前Web端服务证书
- 在页面右上方选择“ > 通用设置 > 证书管理 > 服务端证书”。
- 查看证书信息,如图1所示,界面参数描述如表1所示。
表1 服务端证书参数说明 参数
说明
证书名称
显示证书名称。
有效期
显示证书到期时间。
状态
显示证书的当前状态。
有效:证书剩余有效时间超过证书过期告警阈值。
即将过期:证书剩余有效时间小于或等于证书过期告警阈值。
已过期:已过证书到期时间。
说明:- 工具每天自动检查并更新证书状态。
- Web服务证书自动告警时间默认为90天。管理员可在鲲鹏鲲鹏DevKit首页中的选项中选择“系统设置”,手动配置“证书过期告警阈值”,可配置范围为7~180天。
操作
可执行如下操作:
- 下载根证书
说明:
使用浏览器登录鲲鹏DevKit时,若弹出安全告警提示,可以在浏览器中为鲲鹏DevKit导入根证书来屏蔽此安全告警提示。
- 生成CSR文件
说明:
CSR(Certificate Signing Request)是证书请求文件。证书申请者在申请数字证书时,由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件。证书申请者把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,即证书。
- 导入服务端证书
- 重启服务
- 更新工作密钥
自定义服务器证书信息并导入
- 在“Web服务端证书”页面中单击“生成CSR文件”。打开“生成CSR文件”对话框,如图2所示,界面参数描述如表2所示。
- 单击“确认”生成CSR文件。
- 将导出的CSR文件发往SSL证书颁发机构,并申请SSL证书。
获取到正式的证书后,保存到本地。
用户也可以使用其根证书进行自签名获取正式的证书。
- 单击“导入Web服务端证书”。
弹出“导入Web服务端证书”对话框。
- 单击,选择需要导入证书文件,单击“导入”。
- 导入的证书文件不得大于1MB,支持的格式为*.crt、*.cer、*.pem。
- 1中生成的CSR文件与向CA机构申请的服务器证书是一一对应的,在导入服务器证书之前请不要再次生成新的CSR文件,否则需要向CA机构重新申请服务器证书。
- 导入的SSL证书如果不是从正式的证书颁发机构获取,而是用户自己使用工具生成,在导入该SSL证书后,还需要确认客户端浏览器中是否已存在对应的根证书。
- 单击“确认”导入Web服务端证书。
- 单击 使证书生效。
用户手动在服务器上重启Nginx服务,证书不会生效,必须在Web上进行重启操作。
更换工作密钥
工作密钥用于加密启动Nginx服务的口令。为提高系统安全性,建议定期更新。
- 在页面右上方选择“ > 通用设置 > 证书管理 > 服务端证书”。
- 单击“更换工作密钥”,在弹出框中确认更换工作秘钥后,单击“重启服务”使工作密钥生效。
父主题: 证书管理