华为云海外版 国际华为云服务器SSL证书一键申请

别再手动折腾了，华为云国际站真能一键搞定SSL？

你有没有过这种经历：凌晨三点，对着服务器日志抓耳挠腮，Nginx配置改了八遍，浏览器还是固执地显示「您的连接不是私密连接」；又或者，在Let’s Encrypt命令行里敲到手指发麻，结果ACME协议一报错，全盘崩盘——而隔壁用华为云国际站的同学，喝着冰美式，点三下鼠标，证书就自动绑好了。

不是玄学，是真有这回事。但前提是：你得知道那「三下鼠标」到底点在哪、为什么这么点、点完之后该干嘛。今天这篇，不讲云原生架构，不吹技术生态，就干一件事：把华为云国际站（huaweicloud.com，注意不是国内的 cloud.huawei.com）上的SSL证书「一键申请」流程，掰开、揉碎、浇上热油，煎得外酥里嫩，端到你面前。

第一步：确认你站在哪块土地上——国际站 vs 国内站，差的不是网速，是命

先泼一盆冷水：如果你现在打开的是 cloud.huawei.com，请立刻关掉，清空缓存，用无痕窗口访问 https://www.huaweicloud.com。对，就是那个带「.com」后缀的官网首页——这才是国际站入口。国内站走的是工信部备案+CA合规体系，证书管理藏在「安全与合规」→「SSL证书管理」里，界面灰扑扑，操作要填工单；而国际站用的是GlobalSign/GeoTrust双通道认证，后台叫「Certificate Manager」，图标是个金色盾牌，按钮写着「Apply Certificate」，语气都更洋气一点。

华为云海外版 登录后，右上角看邮箱后缀——如果是 @xxx.com 或 @gmail.com，恭喜，你已成功入境；如果显示 @xxx.cn 且弹出「请切换至中国站」提示，那就得老老实实换邮箱注册一个国际账号（支持微信快捷登录，但绑定邮箱必须是境外格式）。别嫌麻烦，这一步漏了，后面所有「一键」都会变成「一动不动」。

顺手检查三件事：

• 域名已解析到你的ECS公网IP：ping一下，nslookup查A记录，别信DNS控制台里「已生效」的温柔谎言；
• ECS安全组放行443端口：国际站默认关闭HTTPS入站，连通性测试失败90%源于此；
• 服务器时间同步准确：用 timedatectl status 看是否NTP校准中，误差超5分钟，证书签发直接拒收。

第二步：真正的「一键」，从这里开始

进入控制台 → 左侧菜单「Security & Compliance」→ 「Certificate Manager」→ 点击右上角绿色按钮「Apply Certificate」。此刻，请屏住呼吸——因为接下来的操作，将决定你是10分钟搞定，还是10小时重装系统。

表单第一栏选「Domain Validation (DV)」，别碰OV/EV，那些要营业执照扫描件、人工审核3天起步；第二栏填你的主域名（比如 example.com），下方小字「Add SANs」点开，把 www.example.com、api.example.com 全加进去——华为云国际站免费DV证书支持最多100个SAN，但首次申请建议只加2-3个，防验证失败连锁反应。

最关键的第三步：「Validation Method」选 DNS-01，不是HTTP-01！为什么？因为HTTP验证要求你在网站根目录放一个临时文件，而很多新手的Nginx还没配好80端口转发，或CDN没关缓存，文件传上去根本刷不出来。DNS验证则绕过所有中间环节，只要你在域名DNS服务商处添加一条TXT记录，华为云后台自动轮询检测，稳如老狗。

第三步：DNS添条TXT，比发朋友圈还简单

点击「Next」后，页面会生成一条TXT记录值，类似：
_acme-challenge.example.com. 600 IN TXT "k7Xj9q...vF2L"

复制整段引号内的字符串（含引号！），登录你的域名注册商后台（GoDaddy / Namecheap / Cloudflare皆可），找到DNS设置页，新增一条TXT记录：
• Host: _acme-challenge（注意前面的下划线）
• Value: 粘贴刚才复制的完整字符串（含双引号）
• TTL: 建议设600秒（10分钟），别用自动，避免缓存拖慢验证

保存后，别急着刷新——打开终端执行：
dig -t txt _acme-challenge.example.com +short
看到返回值和你填的一模一样，才算真正生效。通常2分钟内完成，最长不超过15分钟。

第四步：坐等证书「自己长腿跑进来」

回到华为云证书管理页，点击「Check Validation Status」。如果DNS已生效，状态会在30秒内从「Pending」跳成「Issued」，接着自动触发下载——没错，连「下载」按钮都不用点，证书文件（certificate.crt、private.key、ca-bundle.crt）已悄悄躺在你的浏览器下载文件夹里。

此时你会收到一封标题为「Your SSL Certificate is Ready」的邮件，附件里还有一份PDF版证书链说明，连OpenSSL命令都给你写好了：
openssl x509 -in certificate.crt -text -noout——建议真去跑一遍，亲眼看看Issuer是不是「GlobalSign RSA OV SSL CA 2018」，这才是国际站的正牌血统。

第五步：装进Nginx？三行配置，比煮泡面还快

假设你用的是Ubuntu 22.04 + Nginx 1.18，上传三个证书文件到 /etc/nginx/ssl/ 目录后，编辑站点配置（/etc/nginx/sites-enabled/example.com）：

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;
    ssl_certificate /etc/nginx/ssl/certificate.crt;
    ssl_certificate_key /etc/nginx/ssl/private.key;
    ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.crt;
    # 后面接你的location规则...
}

重点来了：删掉旧的80端口server块，新增强制跳转（防用户手输http）：

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

最后执行：
sudo nginx -t && sudo systemctl reload nginx
打开浏览器输入 https://example.com——地址栏那个小绿锁，会像初恋般羞涩又坚定地亮起来。

常见翻车现场急救包

「验证一直Pending，DNS明明生效了！」

检查TXT记录Host字段是否多写了域名（比如填成 _acme-challenge.example.com 而非 _acme-challenge），多数DNS服务商自动补全域名，导致实际生成了双重子域。

「装完证书，Chrome仍提示NET::ERR_CERT_AUTHORITY_INVALID」

八成是漏传 ca-bundle.crt。华为云国际站的证书链有三层，Nginx必须用 ssl_trusted_certificate 指定中间证书，否则老版本Android/iOS直接跪。

「证书申请成功，但3个月后自动续期失败？」

国际站目前不支持全自动续期（别信某些博客写的「勾选Auto-Renewal」），到期前7天需手动进入证书详情页点「Renew」，流程和首次申请完全一致——建议在手机日历设个提醒，备注「华为云SSL续期，DNS再添一次TXT」。

写在最后：所谓「一键」，不过是把一百个细节，压进一个按钮里

华为云国际站的SSL申请流程，表面看是三次点击、一次DNS添加、两次Nginx配置，但背后是全球CDN节点的证书分发调度、DNS轮询的毫秒级响应、以及GlobalSign根证书在各大浏览器的信任预埋。你省下的不是时间，而是对PKI体系的理解成本。

所以，下次再有人问「SSL证书怎么搞」，别急着甩命令行教程。拉他一起打开 huaweicloud.com，从注册邮箱开始，一步步走完这个流程——当那个小绿锁第一次亮起时，他会懂：所谓技术普惠，就是让最硬核的安全机制，变得像拧开瓶盖一样自然。