我尝试在 Google App Engine 自定义域上安装我在 SSLs.com 上订购的 Comodo 证书。但出现错误:
无法插入提供的 SSL 证书。
我检查了我的密钥的长度为 2048 位:
# openssl rsa -in myserver2.key.pem -text -noout
Private-Key: (2048 bit)
并确保我的证书附加到 ca-bundle:
cat xn--80aaxfchnde0hb.com.crt xn--80aaxfchnde0hb.com.ca-bundle > concat.crt
除此之外,我还验证了 md5 和 CAfile:
# openssl verify -verbose -CAfile concat.crt concat.crt
concat.crt: OK
# openssl x509 -noout -modulus -in concat.crt |openssl md5
(stdin)= f83d...c3d
# openssl rsa -noout -modulus -in myserver2.key.pem | openssl md5
(stdin)= f83d...c3d
我也尝试将证书转换为 PEM
openssl x509 -inform PEM -in concat.crt > concat.pem
我想获取 xn 域的证书。
答案1
Google App Engine 支持 SSL 证书,引自文章
App Engine 支持以下证书类型:
- 单个域名/主机名
- 自签名
- 通配符
- 主题备用名称 (SAN)/多域
它需要您的证书和密钥的一些信息:
- 私钥和证书应以 PEM 格式上传。
- 私钥不得加密。
- 一个证书文件最多可以包含五个证书;此数字包括链式证书和中间证书。
- 主机证书上的所有主题名称都应与用户已验证的域匹配或为其子域。
- 私钥必须使用 RSA 加密。
- 允许的最大密钥模数:2048 位
如果主机证书需要中间证书或链式证书(许多证书颁发机构 (CA) 颁发),则需要将中间证书或链式证书附加到公共证书文件的末尾。
某些 App Engine 功能使用特殊子域名。例如,应用可以使用子域名来定位应用服务,或定位应用的不同版本。要将这些子域名与 SSL 结合使用,最好设置 SAN 或通配符证书。通配符证书仅支持一级子域名。
有关如何获取证书的步骤,请访问本文。