SSL/TLS

基本概念

全鏈路HTTPS加密

SSL/TLS配置可以分為接入鏈路配置和回源鏈路配置兩部分如下：

• 接入鏈路：即用戶端和邊緣安全加速 ESA節點之間的加密鏈路。接入鏈路的SSL/TLS功能可以在邊緣認證和配置用戶端認證中進行配置。

• 回源鏈路：即邊緣安全加速 ESA節點和來源站點的加密鏈路。回源鏈路的SSL/TLS功能可以在來源站點認證中進行配置。

邊緣認證加密流程如下圖所示：

配置部署在邊緣安全加速 ESA節點上的認證，以及需要在邊緣安全加速 ESA節點上啟用的SSL/TLS功能。在邊緣配置認證並開啟SSL/TLS開關後，用戶端的訪問將支援HTTPS協議。

用戶端認證加密流程如下圖所示：

當接入鏈路需要雙向認證（mTLS）時，您可以在用戶端認證中產生一本由邊緣安全加速 ESA簽發的認證，並將該認證配置在用戶端。開啟雙向認證（mTLS）後，邊緣安全加速 ESA將要求用戶端發送認證，並對該認證進行校正。

來源站點認證加密流程如下圖所示：

配置回源鏈路的相關SSL/TLS功能，例如回源協議和連接埠、源認證強制校正、回源雙向認證。

• 回源協議和連接埠：配置邊緣安全加速 ESA回源訪問來源站點時的協議（HTTP或HTTPS），以及不同協議對應的連接埠。

• 源認證強制認證：當回源鏈路使用HTTPS協議時，ESA將收到來源站點返回的認證，該認證預設不進行校正。當開啟源認證強制認證時，我們將校正來源站點返回認證的有效性，包括是否到期、CA驗證是否通過等，並斷開校正不通過的串連。

• 回源雙向認證：啟用回源雙向認證後，來源站點可以請求邊緣安全加速 ESA的認證用於驗證ESA的身份。

不同套餐的支援情況