為什么需要導入證書？

證書主要指HTTPS訪問請求所使用的證書，通過使用HTTPS證書能夠保證用戶請求的安全性。

證書的主要原理是，用戶請求通過第三方頒發的可信證書中的公鑰對會話進行加密和簽名，從而保證用戶本身的信息以及用戶所訪問服務器的可信性，服務器端接收到用戶通過公鑰加密發送的請求和簽名后，再通過私鑰進行解密，從而驗證用戶本身的可信性。

WAF需要導入所防護域名的證書和私鑰，從而完成對客戶請求的認證，以及通過HTTPS的安全請求方式將用戶的請求轉發回源站。故在使用過程中，需要Web業務管理員將Web服務的證書及對應的私鑰導入到WAF中，從而實現客戶對Web業務的安全訪問。

配置泛域名時，如何選擇證書？

域名和證書需要一一對應，泛域名只能使用泛域名證書。如果您沒有泛域名證書，只有單域名對應的證書，則只能在WAF中按照單域名的方式逐條添加域名進行防護。

并且泛域名與證書必須是同級匹配，例如您的泛域名是*.b.daliqc.cn，則泛域名證書必須為*.b.daliqc.cn，不能是*.daliqc.cn或*.a.b.daliqc.cn。

當前WAF僅支持PEM編碼格式的證書，如果證書為非PEM編碼格式，請參考下表將本地證書轉換為PEM格式，再上傳。

格式類型	轉換方式
PFX	提取私鑰命令，以“cert.pfx”轉換為“key.pem”為例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取證書命令，以“cert.pfx”轉換為“cert.pem”為例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
P7B	證書轉換，以“cert.p7b”轉換為“cert.cer”為例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 將“cert.cer”證書文件直接重命名為“cert.pem”。
DER	提取私鑰命令，以“privatekey.der”轉換為“privatekey.pem”為例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取證書命令，以“cert.cer”轉換為“cert.pem”為例。 openssl x509 -inform der -in cert.cer -out cert.pem