負載均衡 > 常見問題

時間 2019-11-12

標籤負載均衡常見問題欄目負載均衡简体版

原文原文鏈接

證書管理相關問題

經常使用證書申請流程

一、本地生成私鑰：openssl genrsa -out privateKey.pem 2048 其中privateKey.pem爲您的私鑰文件，請妥善保管。html

二、生成證書請求文件：openssl req -new -key privateKey.pem -out server.csr其中server.csr是您的證書請求文件，可用其去申請證書。java

三、獲取請求文件中的內容前往CA等機構站點申請證書。node

證書格式要求

您要申請的證書爲：linux環境下pem格式的證書。負載均衡不支持其餘格式的證書，如是其它格式的證書請參考本文「負載均衡支持的證書格式及轉換方式」部份內容。linux

若是是經過root CA機構頒發的證書，您拿到的證書爲惟一的一份，不須要額外的證書，配置的站點便可被瀏覽器等訪問設備認爲可信。windows

若是是經過中級CA機構頒發的證書，您拿到的證書文件包含多份證書，須要人爲的將服務器證書與中間證書合併在一塊兒上傳。後端

拼接規則爲：服務器證書放第一份，中間證書放第二份，中間不要有空行。注：通常狀況下，機構在頒發證書的時候會有對應說明，請注意規則說明。瀏覽器

如下爲證書格式和證書鏈格式範例，請確認格式正確後上傳：tomcat

一、root CA機構頒發的證書：證書格式爲linux環境下pem格式。Sample：安全

證書規則爲：服務器

a、 [——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 開頭和結尾；請將這些內容一併上傳；

b、每行64字符，最後一行不超過64字符；

二、中級機構頒發的證書鏈：

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

——-BEGIN CERTIFICATE——-

——-END CERTIFICATE——-

證書鏈規則：

a、證書之間不能有空行；

b、每一份證書遵照第一點關於證書的格式說明；

RSA私鑰格式要求

rsa私鑰規則：

a、[——-BEGIN RSA PRIVATE KEY——-, ——-END RSA PRIVATE KEY——-] 開頭結尾；請將這些內容一併上傳；

b、每行64字符，最後一行長度能夠不足64字符。

若是您不是按照上述方案生成私鑰，獲得[——-BEGIN PRIVATE KEY——-, ——-END PRIVATE KEY——-] 這種樣式的私鑰，您能夠按照以下方式轉換：

openssl rsa -in old_server_key.pem -out new_server_key.pem

而後將new_server_key.pem的內容與證書一塊兒上傳。

負載均衡支持的證書格式及轉換方式

負載均衡只支持PEM格式的證書，其餘格式的證書須要轉換成PEM格式後才能上傳到負載均衡中，建議經過openssl 工具進行轉換。下面是幾種比較流行的證書格式轉換爲PEM格式的方法。

一、DER 轉換爲 PEMDER格式通常出如今java平臺中。證書轉化：openssl x509 -inform der -in certificate.cer -out certificate.pem私鑰轉化：openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

二、 P7B 轉換爲 PEMP7B格式通常出如今windows server和tomcat中。證書轉化：openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer獲取outcertificat.cer裏面[——-BEGIN CERTIFICATE——-， ——-END CERTIFICATE——-]的內容做爲證書上傳。私鑰轉化：無私鑰

三、PFX 轉換爲PEMPFX格式通常出如今windows server中。提取私鑰： openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes提取證書：openssl pkcs12 -in certname.pfx -nokeys -out cert.pem