应用内证书

SSL 证书是保护网站和用户之间数据传输安全的重要工具，它可以防止数据被第三方窃取或篡改。在应用的 SSL 页面，您可以选择为整个应用授予一个全局证书，或者通过点击 添加证书 按钮为应用添加一个特定的 SSL 证书。

# 添加应用证书

您可以根据以下步骤为应用添加 SSL 证书：

1. 点击 添加证书 按钮。

   

2. 选择证书添加方式：

   • 手动上传：上传您已有的 SSL 私钥和服务器证书
   • Let’s Encrypt：在线申请由 Let’s Encrypt 签发的免费证书
   • 通用 ACME 发行者：使用符合 ACME 协议的其他证书发行者生成证书
   • 全局证书：使用系统中已配置的全局证书

3. 配置客户端证书要求：

   • 是：强制要求客户端证书
   • 否：不要求客户端证书
   • 可选：通过页面规则中的"Enable SSL Client Verify"动作灵活控制

4. 设置是否将此证书设为默认证书。当请求无法匹配到特定证书时，系统将使用默认证书。

# 手动上传证书

选择手动上传已有证书时，您可以：

• 直接上传证书文件或粘贴文件内容。
• 将 服务器证书 分为两部分上传：CA 认证链和服务器证书，或将两者合并在 服务器证书 字段中。

# 使用 Let’s Encrypt 自动签发证书

在使用此方式之前，请确保您的域名 DNS 已正确解析并指向您的 Edge Node 网关服务器。

# 使用其他 ACME 发行商自动签发证书

使用此方式前，您需要：

1. 确保您的域名 DNS 已正确解析并指向您的 Edge Node 网关服务器。
2. 在 OpenResty Edge 系统中添加如 ZeroSSL 等证书发行商的相关信息。

# 引用全局证书

要引用全局证书，请按以下步骤操作：

1. 首先，创建一个全局证书。
2. 假设应用的域名是 test.com，在证书下拉列表中选择 *.test.com 这个全局证书。
3. 注意：证书的域名必须与应用的域名相匹配或涵盖应用域名，否则证书验证将失败。

# 为同一域名配置多个 ACME 证书

默认情况下，OpenResty Edge 只允许为一个域名添加一个 ACME 证书。如果您需要为同一个域名设置多个 ACME 证书，可以按照以下步骤操作：

1. 编辑配置文件：/usr/local/oredge-admin/conf/config.ini
2. 添加或修改以下配置：

[acme]
acme_skip_duplicate_check = true

通过设置 acme_skip_duplicate_check = true，系统将允许为同一个域名配置多个 ACME 证书。

3. 重启服务以使配置生效：

sudo systemctl start upgrade-oredge-admin

通过以上设置，您可以灵活地管理应用的 SSL 证书，提高网站的安全性和可信度。