邊緣安全加速 ESA支援HTTPS安全加速服務,您可以將SSL認證部署至ESA平台並開啟SSL/TLS功能,實現用戶端與ESA節點間請求的加密傳輸。ESA為您提供免費認證和自訂認證兩種認證配置方式。
認證類型
如果您的業務為中小企業網站或個人部落格,並且網域名稱為單一精確網域名稱,建議申請免費認證。
如果您需要使用可信度更高的憑證授權單位,或者當前已經擁有網域名稱認證,您可以上傳自訂認證。
認證類型 | 免費認證 | 自訂認證 |
認證類型 | 免費認證 | 自訂認證 |
簽發機構 | Let's Encrypt | 任意簽發機構 |
有效期間 | 三個月 | 以認證申請時為準 |
認證類型 | DV | DV、OV、EV |
認證演算法 | RSA | RSA、ECC |
網域名稱類型 | 精確網域名稱、泛網域名稱 | 單一精確網域名稱、泛網域名稱 |
網域名稱控制驗證 | 自動 | 手動 |
認證續簽 | 自動 | 手動 |
同一個網站下支援同時配置免費認證和自訂認證,所有認證將構成認證池,當節點收到用戶端請求時,將從認證池的多張認證中自動選擇最優認證返回給用戶端。詳細情況,請參見認證選擇優先順序。
申請免費認證
免費認證功能為您提供了一種便捷的憑證發行和管理方式,輸入欄位名即可自動完成認證申請、網域名稱控制驗證、續簽及部署。
認證申請過程中ESA將自動完成網域名稱控制驗證,無需您手動確認,詳情請參見免費認證自動網域名稱控制驗證。
ESA將在免費認證到期前的15天對免費認證進行自動續簽,如果未成功續簽,我們將通過簡訊和郵件的方式通知您,此時需要您上傳自訂認證,從而避免業務受損。
在ESA控制台,選擇網站管理,在站点列單擊目標網站。
在左側導覽列,選擇。
在認證管理地區,單擊申請免費認證,輸入認證網域名稱。
每張認證最多可以輸入50個網域名稱,輸入欄位名支援單網域名稱和泛網域名稱,且必須和網站匹配。
單擊確定,等待免費認證申請完成即可。認證的申請狀態可以在認證管理列表中查看。
上傳自訂認證
您可以在阿里雲數位憑證管理(Apsara Stack Security)或第三方服務商申請認證後,將認證部署至ESA。
在ESA控制台,選擇網站管理,在站点列單擊目標網站。
在左側導覽列,選擇。
在認證管理地區,單擊上傳自訂認證。
如果您已在阿里雲數位憑證管理服務中購買了認證,請選擇認證來源為Apsara Stack Security認證,並在证书名称中選擇已購買的認證。
如果無法選擇您購買的認證,請檢查已購買認證綁定的網域名稱和加速網域名稱是否相同。
如果您使用的是第三方服務商簽發的認證,請選擇認證來源為自訂認證,您需要在設定完認證名稱後,上傳認證(公開金鑰)和私密金鑰,該認證將在阿里雲數位憑證管理服務中儲存。您可以在SSL認證管理中查看。
參數
說明
參數
說明
認證名稱
為要上傳的認證設定一個名稱。
支援使用英文字母、英文句號、數字、底線(_)和短劃線(-)。
認證名稱不能與已有認證名稱重複。已有認證可以在SSL認證管理中查看。
如果系統提示認證重複,請修改認證名稱後再重新上傳。
認證(公開金鑰)
填寫認證檔案內容的PEM編碼。
您可以使用文本編輯工具開啟PEM格式的認證檔案,複製其中的內容並粘貼到該文字框。
私密金鑰
填寫認證私密金鑰內容的PEM編碼。
您可以使用文本編輯工具開啟PEM格式的認證私密金鑰檔案,複製其中的內容並粘貼到該文字框。
如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭,以“-----END PRIVATE KEY-----”結尾的私密金鑰,您需要使用OpenSSL工具執行以下命令進行轉換,然後將
new_server_key.pem的內容粘貼到該文字框。openssl rsa -in old_server_key.pem -out new_server_key.pem
單擊確定,完成認證上傳。
開啟SSL/TLS
完成認證配置後,開啟SSL/TLS功能將允許用戶端使用HTTPS協議訪問節點。
在ESA控制台,選擇網站管理,在站点列單擊目標網站。
在左側導覽列,選擇。
開啟開啟SSL/TLS開關。
當前配置對網站下所有網域名稱生效,如果您只想對指定網域名稱開啟SSL/TLS加密功能,請參考SSL/TLS規則為指定網域名稱添加規則。
驗證HTTPS配置是否生效
完成認證配置並開啟SSL/TLS後,您可以使用瀏覽器以HTTPS方式訪問資源,如果瀏覽器中URL旁邊出現鎖的HTTPS標識,表示HTTPS安全加速已生效。
更新自訂認證
由於ESA無法對您的自訂認證進行續簽,請您在認證到期前更新認證或配置新的自訂認證,從而避免業務因認證到期受到影響。我們將會在自訂認證到期前30天發送寄件提醒您進行認證更新。
更新已有認證
在中選擇要更新的認證,單擊操作列的修改,更新認證內容並單擊確定,即可完成認證更新。
配置新的認證
選擇。
參考上傳自訂認證上傳新的認證。
選擇即將到期的認證,單擊操作列的刪除,根據介面提示,單擊確定即可刪除認證。
免費認證自動網域名稱控制驗證
網域名稱控制驗證是指憑證授權單位(CA)為網域名稱頒發認證之前,申請人必須證明他們對該網域名稱具有控制權。網域名稱控制驗證分為DNS和HTTP兩種方式。
對於NS接入的網站,ESA使用DNS方式進行網域名稱控制驗證,當您為網站申請免費認證後,ESA將自動為網站添加一條TXT類型的DNS記錄用於網域名稱控制驗證。
對於CNAME接入的網站,ESA使用HTTP方式進行網域名稱控制驗證,當您為網站申請免費認證後,CA進行網域名稱控制驗證的HTTP請求將直接由ESA節點返回。
認證選擇優先順序
同一個網站下支援同時配置免費認證和自訂認證,所有認證將構成認證池,當節點收到用戶端請求時,將從認證池的多張認證中自動選擇最優認證返回給用戶端。認證選擇優先順序為:
優先選擇可用狀態的認證返回給用戶端。例如:優先返回在有效期間內的和SNI匹配的認證。
優先選擇和用戶端密碼編譯演算法匹配的認證返回給用戶端。例如:當用戶端使用國密演算法時返回國密認證,當用戶端同時支援RSA和ECC時優先返回ECC認證。
單網域名稱認證優先順序高於泛網域名稱認證。
配置時間較晚的認證優先順序高於配置時間較早的認證。
不同套餐支援的支援情況
認證類型 | Entrance | Pro | Premium | Enterprise |
認證類型 | Entrance | Pro | Premium | Enterprise |
免費認證 | 10張 | 30張 | 50張 | 100張 |
自訂認證 | 5張 | 10張 | 15張 | 20張 |
