* [证书区分地域吗？](#.6K-B5Lmm5Yy65YiG5Zyw5Z-f5ZCX77yf) * [如何上传证书？](#.5aaC5L2V5LiK5Lyg6K-B5Lmm77yf) * [CLB支持哪些类型的证书？](#.6LSf6L295Z2H6KGh5pSv5oyB5ZOq5Lqb57G75Z6L55qE6K-B5Lmm77yf) * [CLB服务是否支持泛域名证书？](#.6LSf6L295Z2H6KGh5pyN5Yqh5piv5ZCm5pSv5oyB5rOb5Z-f5ZCN6K-B5Lmm77yf) * [为什么配置证书后仍出现不安全提示？](#.5Li65LuA5LmI6YWN572u6K-B5Lmm5ZCO5LuN5Ye6546w5LiN5a6J5YWo5o-Q56S677yf) * [修改七层监听器的证书会导致业务中断吗？](#.5L-u5pS55LiD5bGC55uR5ZCs5Zmo55qE6K-B5Lmm5Lya5a-86Ie05Lia5Yqh5Lit5pat5ZCX77yf) * [证书需要上传到后端服务器吗？](#.6K-B5Lmm6ZyA6KaB5LiK5Lyg5Yiw5ZCO56uv5pyN5Yqh5Zmo5ZCX77yf) * [证书过期了怎么办？](#.6K-B5Lmm6L-H5pyf5LqG5oCO5LmI5Yqe77yf) * [证书到期会通知吗？](#.6K-B5Lmm5Yiw5pyf5Lya6YCa55-l5ZCX77yf) * [如何取消证书到期提醒？](#.5aaC5L2V5Y-W5raI6K-B5Lmm5Yiw5pyf5o-Q6YaS77yf) ## 证书区分地域吗？火山引擎证书中心（推荐）：不区分地域。 CLB侧证书管理模块（不推荐）：区分地域。如果同一个证书要在多个地域使用，则需要分别在多个地域上传。 ## 如何上传证书？为了便于统一管理证书，请您前往证书中心控制台上传证书，操作请参见 [上传证书](https://www.volcengine.com/docs/6638/118039) 。在证书中心，您可以一站式实现证书的购买、上传、续费和删除等相关操作。 ## CLB支持哪些类型的证书？当前CLB仅支持PEM格式的服务器证书，包括RSA和EC两种类型。服务器证书格式不符合要求时，您可以参考下表转换为符合要求的PEM格式。 |证书格式 |转换说明 | |---|---| |CER/CRT |直接修改证书文件的扩展名转换为PEM格式。|\ | |例如：将证书文件`server.crt` 重命名为 `server.pem` 。 | |PFX |PFX 格式的证书通常出现在 Windows Server 服务器中，可使用 OpenSSL 工具转换为PEM格式。|\ | ||\ | |* 公钥证书：`openssl pkcs12 -in certname.pfx -nokeys -out publickey.pem`|\ | |* 私钥证书：`openssl pkcs12 -in certname.pfx -nocerts -out privatekey.pem -nodes` | |P7B |P7B 格式的证书通常出现在 Windows Server 和 Tomcat 服务器中，可使用 OpenSSL 工具转换为CER格式，然后直接修改证书文件扩展名为PEM格式。|\ | |公钥证书和私钥证书均使用命令：`openssl pkcs7 -print\_certs -in incertificate.p7b -out outcertificate.cer`。 | |DER |DER 格式的证书通常出现在 Java 平台中，可使用 OpenSSL 工具转换为PEM格式。|\ | ||\ | |* 公钥证书：`openssl x509 -inform der -in certname.der -out publickey.pem`|\ | |* 私钥证书：`openssl rsa -inform DER -outform PEM -in certname.der -out privatekey.pem` | 操作请参考 [转换证书格式](https://www.volcengine.com/docs/6638/145620) 。 ## CLB服务是否支持泛域名证书？支持，上传泛域名证书即可。请注意泛域名证书的通配规则，例如泛域名证书的域名为\*.support.com，则可以支持a.support.com、b.support.com等，但不支持a.a.support.com，若要支持，则需申请 \*.a.support.com的泛域名证书。 ## 为什么配置证书后仍出现不安全提示？可能原因如下： * 证书所记录的域名与用户访问的域名不一致，建议排查证书所记录的域名。 * 域名级别与证书级别不一致，例如域名为5级而证书为4级。 * 域名未备案。 * 证书已过期。其他情况您可以使用`curl`命令（curl *访问的域名*），根据系统返回的错误信息进行排查。 ## 修改七层监听器的证书会导致业务中断吗？不会。七层监听器证书修改后立即生效，已有连接继续使用原来的证书，且业务不受影响；新连接使用新的证书。 ## 证书需要上传到后端服务器吗？不需要。证书用于对客户端和CLB之前的访问请求进行加密，无需上传到后端服务器。 ## 证书过期了怎么办？证书过期后，请参考[修改监听器证书](https://www.volcengine.com/docs/6406/71225)更换证书。 ## 证书到期会通知吗？火山引擎证书中心和CLB侧证书管理模块二者存在差异： * 证书中心（推荐）：需要您配置，详情请参见 [证书消息](https://www.volcengine.com/docs/6638/151705) 。 * CLB侧证书管理模块（不推荐）：默认在证书到期前30天、15天、7天、1天以及到期当天的北京时间10:00通过站内信、邮件、短信等方式为您发送通知消息，请您在收到通知后及时更新证书。如果证书到期时间为北京时间00:00～10:00之间，那么到期当天不会发送消息通知。 ## 如何取消证书到期提醒？火山引擎证书中心和CLB侧证书管理模块二者存在差异： * 证书中心（推荐）：支持管理指定证书的到期告警，详情请参见 [证书消息](https://www.volcengine.com/docs/6638/151705) 。 * CLB侧证书管理模块（不推荐）：默认为您订阅了证书到期提醒功能。如果您不希望收到提醒消息，可以在消息中心控制台基本消息接收配置，按需去掉**产品到期通知**中不再需要的通知方式。操作参考 [订阅消息以及通知方式](https://www.volcengine.com/docs/6836/129281) 。 :::tip “产品到期通知”中包含除CLB之外的其他产品的到期事件，取消订阅会取消所有产品的此类到期事件的通知，请谨慎操作。 :::

负载均衡