DCDN支援HTTPS安全加速服務,您可以將HTTPS認證部署至DCDN平台,啟用HTTPS安全加速服務,實現用戶端與DCDN節點間請求的加密傳輸。
前提條件
已準備與加速網域名稱匹配的HTTPS認證。
注意事項
僅支援PEM格式的認證,其他格式的認證請參照認證格式轉換方式進行格式轉換。
上傳第三方服務商簽發的認證時,請使用無密碼保護的私密金鑰。
在阿里雲數位憑證管理服務(原SSL)中購買的認證支援批量部署至DCDN平台,請參見:大量設定HTTPS認證。
您可以查看認證,但由於私密金鑰資訊敏感,不支援私密金鑰查看,請妥善保管認證相關資訊。
如果您不希望將私密金鑰暴露在阿里雲DCDN以外的環境中,那麼您可以使用數位憑證管理服務提供的 CSR(Certificate Signing Request) 管理工具,產生基於RSA、ECC、SM2(國密)密鑰演算法的CSR和私密金鑰,或上傳已有的CSR,請參見管理CSR。
如果需要實現全鏈路HTTPS加密,還需要配置DCDN節點以HTTPS協議回源到來源站點伺服器(來源站點伺服器需要支援HTTPS協議)。
配置或更新HTTPS認證
HTTPS功能為增值服務,開啟HTTPS將產生HTTPS請求數計費,該費用單獨隨用隨付,不包含在DCDN流量包內。HTTPS計費介紹,請參見HTTPS請求數/動態HTTP請求數。
登入DCDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,單擊目標網域名稱對應的配置。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
在HTTPS证书地區,單擊修改配置。
在HTTPS设置對話方塊,開啟HTTPS安全加速開關,並配置認證相關參數。
如果您已在阿里雲數位憑證管理服務中購買了認證,請選擇雲盾(SSL)認證中心,並在证书名称中選擇已購買的認證。
說明如果無法選擇您購買的認證,請檢查已購買認證綁定的網域名稱和加速網域名稱是否相同。
如果您使用的是第三方服務商簽發的認證,請選擇自訂上傳(認證+私密金鑰),您需要在設定证书名称後,上傳認證(公開金鑰)和私钥,該認證將在阿里雲數位憑證管理服務中儲存。您可以在我的認證中查看。
參數
說明
证书名称
為要上傳的認證設定一個名稱。
支援使用英文字母、英文句號、數字、底線(_)和短劃線(-)。
說明認證名稱不能與已有認證名稱重複。已有認證可以在我的認證中查看。
如果系統提示認證重複,請修改認證名稱後再重新上傳。
認證(公開金鑰)
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM格式的認證檔案,複製其中的內容並粘貼到該文字框。
範例請參見輸入框下方的pem编码参考样例。
私钥
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟KEY格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框。
範例請參見輸入框下方的pem编码参考样例。
說明如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭,以“-----END PRIVATE KEY-----”結尾的私密金鑰,您需要使用OpenSSL工具執行以下命令進行轉換,然後將
new_server_key.pem
的內容粘貼到該文字框。openssl rsa -in old_server_key.pem -out new_server_key.pem
單擊確定,完成配置。
驗證HTTPS配置是否生效
更新HTTPS認證1分鐘後將全網生效。您可以使用HTTPS方式訪問資源,如果瀏覽器中URL旁邊出現鎖的HTTPS標識,表示HTTPS安全加速已生效。
認證配置完成後,您需要留意認證到期時間並在認證到期前手動設定新的認證。
關閉HTTPS安全加速
如果您不再使用HTTPS安全加速功能,可隨時在DCDN控制台關閉HTTPS安全加速。關閉HTTPS安全加速即時生效,關閉後使用HTTPS方式無法訪問資源,且不再保留認證或私密金鑰資訊。
再次開啟HTTPS安全加速時,需要重新選擇需要使用的認證。