今天我想展示如何在 OpenResty Edge 中为你的 HTTPS 应用上传你自己的 SSL 证书。

为应用手动上传 SSL 证书

像往常一样，让我们进入 OpenResty Edge 的 Admin Web 控制台。这是我们控制台的样本部署。每个用户都有自己的本地部署。

这一次，我们继续使用 test-edge.com 域名的应用作为例子。

我们可以看到它已经为 SSL 在 443 端口上进行监听了。

让我们进入这个应用。

进入 SSL 页面。

目前还没有添加 SSL 证书。

让我们添加一个新的证书。

我们支持各种添加新 SSL 证书的方式，包括 Let’s Encrypt。

这里我们只演示手动上传的方式。

我们可以在这里复制和粘贴 PEM 格式的 SSL 私钥。

也直接浏览本地文件系统并选择一个本地文件进行上传。

并同时粘贴对应的 PEM 格式的 SSL 证书。

同样，也可以直接浏览并上传一个本地证书文件。

有时，CA 可能会提供一个单独的文件，其中包含中间信任的 CA 证书链。

但更多的时候，证书链已经包含在这里的服务器证书文件中。

在这个例子中，我们把它留空，因为我们没有这个单独的文件。

保存我们的证书和密钥对。

可以看到新创建的证书和配对密钥的记录了。

证书来源是手动上传。

证书是对应这个单一的域名的，test-edge.com。

它将在大约一年后到期。

我们可以通过将鼠标悬停在上面看到确切的过期时间。

现有的证书是可以编辑的。

我们在这里不做任何修改。

这个证书也是可以删除的。

现在我们还不想删除它。

但可以禁用它。

像往常一样，我们需要发布新的配置来推送我们的新证书。

点击这个按钮。

发布！

完成了！

现在，新的证书已经被推送到所有的网关集群和服务器上。

我们的配置变化不需要服务器重载、重启或二进制升级。所以它是非常有效和可扩展的。

测试上传的证书

然后，我们可以用一个网关集群服务器来测试我们的新证书。

在旧金山附近选择一个网关服务器。

复制它的公共 IP 地址，以 133 结尾。

在终端上，我们可以向这个网关服务器发送一个 HTTPS 请求。

curl -I --resolve 'test-edge.com:443:138.68.231.133' https://test-edge.com/

成功了！

还可以使用 -v 选项检查更多细节，比如证书信息。

curl -I --resolve 'test-edge.com:443:138.68.231.133' https://test-edge.com/ -v 2>&1 | less -n

确实可以看到我们的服务器证书。

SSL 证书的上传也可以通过 OpenResty Edge 的 REST API 自动进行。我们将在另一个视频中演示。

这就是我今天想讲的内容。

如果你喜欢这个教程，请订阅这个博客网站和我们的 YouTube 频道 或 B 站频道。谢谢！

关于本文和关联视频

本文和相关联的视频都是完全由我们的 OpenResty Showman 产品从一个简单的剧本文件自动生成的。

关于作者

章亦春是开源 OpenResty^® 项目创始人兼 OpenResty Inc. 公司 CEO 和创始人。

章亦春（Github ID: agentzh），生于中国江苏，现定居美国湾区。他是中国早期开源技术和文化的倡导者和领军人物，曾供职于多家国际知名的高科技企业，如 Cloudflare、雅虎、阿里巴巴, 是 “边缘计算“、”动态追踪 “和 “机器编程 “的先驱，拥有超过 22 年的编程及 16 年的开源经验。作为拥有超过 4000 万全球域名用户的开源项目的领导者。他基于其 OpenResty^® 开源项目打造的高科技企业 OpenResty Inc. 位于美国硅谷中心。其主打的两个产品 OpenResty XRay（利用动态追踪技术的非侵入式的故障剖析和排除工具）和 OpenResty Edge（最适合微服务和分布式流量的全能型网关软件），广受全球众多上市及大型企业青睐。在 OpenResty 以外，章亦春为多个开源项目贡献了累计超过百万行代码，其中包括，Linux 内核、Nginx、LuaJIT、GDB、SystemTap、LLVM、Perl 等，并编写过 60 多个开源软件库。

关注我们

如果您喜欢本文，欢迎关注我们 OpenResty Inc. 公司的博客网站 。也欢迎扫码关注我们的微信公众号：

翻译

我们提供了英文版原文和中译版（本文） 。我们也欢迎读者提供其他语言的翻译版本，只要是全文翻译不带省略，我们都将会考虑采用，非常感谢！