怎么在UCloud上部署SSL证书
在UCloud CDN上部署SSL证书是实现网站HTTPS加密的关键步骤,需配合可信CA签发的SSL证书完成。UCloud不提供证书签发服务,但支持上传PEM格式(含公钥证书、私钥及中间证书)的完整证书链。部署成功后,用户可通过https://访问加速域名,浏览器显示🔒安全锁标识,表明TLS连接已建立。
该操作适用于已通过TOPSSL等平台完成免费ssl申请或购买商业SSL证书的用户,尤其推荐使用支持国密SM2算法的国密SSL证书以满足国内等保合规要求。
UCloud CDN SSL证书部署核心流程
1. 获取并准备证书文件
从TOPSSL平台下载证书压缩包后解压,需确保包含以下三类文件:域名证书(如 example.com.crt)、私钥(example.com.key)及中间证书(ca-bundle.crt)。UCloud控制台仅需上传前两者,但建议将中间证书内容追加至域名证书末尾,形成完整证书链,避免因证书链不完整导致浏览器信任失败。
2. 登录UCloud控制台上传证书
进入「云分发」→「证书管理」,点击「上传新证书」。填写证书名称(建议含域名与有效期,如“example.com-2026-Q2”),粘贴域名证书(含中间证书)至「证书内容」栏,私钥内容填入「私钥」栏。UCloud不校验证书域名匹配性,但若证书与加速域名不一致,浏览器仍将提示NET::ERR_CERT_COMMON_NAME_INVALID错误。
3. 绑定证书至加速域名
在「域名管理」中选择目标域名,点击「编辑」→「HTTPS配置」,启用HTTPS并选择刚上传的证书。注意:必须确保该域名已完成CNAME解析指向UCloud提供的加速域名(如 xxx.ucloud.cn),且DNS解析生效(可通过DNS解析记录查询工具验证)。
工程实践关键注意事项
UCloud CDN默认启用TLS 1.2+协议,但不支持TLS 1.3的0-RTT特性。生产环境中曾出现因私钥权限为644导致Nginx进程无法读取而报错“SSL_ERROR_SYSCALL”的案例,建议上传前确认私钥文件权限为600。
若使用通配符SSL证书(如 *.example.com),其可覆盖所有一级子域名(如 blog.example.com、shop.example.com),但无法保护二级子域名(如 dev.blog.example.com)——此时需选用多域名证书或单独申请对应证书。
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书格式 | PEM(Base64编码) | 禁止使用PFX/P12格式;若仅有PFX,须用SSL证书格式转换工具提取PEM |
| 私钥加密 | CA/B Forum禁止加密私钥 | 上传前需用OpenSSL移除密码:openssl rsa -in key.pem -out key-unencrypted.pem |
| 证书链完整性 | RFC 8555要求完整链 | 务必合并中间证书至域名证书,否则iOS Safari易出现“此网站使用的不是安全连接”提示 |
常见问题
Q:上传证书后HTTPS仍显示不安全?
A:检查是否遗漏中间证书合并;用SSL证书检查工具验证证书链完整性,并确认域名DNS已生效。
Q:能否为同一证书绑定多个加速域名?
A:不可以。每个UCloud加速域名需独立绑定证书。若需多域名共用,应申请多域名SSL证书或通配符SSL证书。
Q:证书过期前如何自动续期?
A:UCloud不提供自动续期功能。建议提前30天通过TOPSSL平台续费,并重新上传新证书,旧证书在到期后自动失效。
京公网安备11010502031690号
网站经营企业工商营业执照
