Certificate Management Service：配置HTTPS加速網關

前提條件

• 已購買HTTPS加速網關服務，具體操作，請參見HTTPS加速網關購買指引。

• 已擁有穩定啟動並執行商務服務器（即來源站點）和用於HTTPS加速的網域名稱（一般使用子網域名稱）。

  說明

  網域名稱格式要求：

  • 網域名稱長度為1~67個字元。

  • 支援：小寫英文字母（a~z）、數字（0~9）和短劃線（-），例如example.com。

    短劃線（-）不能連續出現、不能單獨使用、不能出現在開頭和結尾。

  • 不支援：中文、英文大寫字母（A~Z）和除了短劃線（-）以外的其他符號。

  • 如果網域名稱包含中文（例如：阿里雲.網址），請通過中文網域名稱轉碼工具將中文網域名稱轉換成英文網域名稱（例如：xn--fiq****.xn--eq****）。

• 如果您的網站在中國內地提供服務，請確保網域名稱已完成ICP備案。如果網域名稱未備案，推薦您登入阿里雲ICP代備案管理系統完成備案。ICP備案接入前請參考ICP備案伺服器（接入資訊）檢查完成相關準備與檢查。

• 待接入的HTTPS加速網關網域名稱未開啟其他代理服務，例如該網域名稱未在阿里雲CDN、阿里雲DCDN或WAF等產品中使用。

步驟一：添加HTTPS加速網域名稱

1. 登入數位憑證管理服務控制台。

2. 在左側導覽列，選擇認證及網域名稱應用服務 > HTTPS加速網關。

3. 在網域名稱管理頁簽，定位到目標執行個體，在操作列，單擊添加域名。

4. 在添加域名對話方塊，參考下表填寫網域名稱申請資訊，單擊確定。

   配置項	說明
   網域名稱	網域名稱格式、備案要求：詳見前提條件。 萬用字元網域名稱（泛網域名稱）要求： 萬用字元可以實現所有的次級網域名稱的HTTPS加速效果。例如，您添加*.aliyundoc.com作為HTTPS加速網域名稱，當您完成*.aliyundoc.comCNAME解析後，該萬用字元網域名稱的所有次級網域名稱（例如example.aliyundoc.com、demo.aliyundoc.com等）均可以實現HTTPS加密和網站資源加速效果。 最多支援三級萬用字元網域名稱，即網域名稱中含有3個點。例如*.example.aliyundoc.com。 萬用字元網域名稱只能匹配同層級的子網域名稱，不能跨級匹配。例如，*.aliyundoc.com的網域名稱匹配demo.aliyundoc.com、learn.aliyundoc.com、example.aliyundoc.com等子網域名稱，但是不匹配guide.demo.aliyundoc.com、developer.demo.aliyundoc.com等網域名稱。 如果萬用字元網域名稱的主網域名稱為頂層網域，預設贈送主網域名稱。例如，您申請的萬用字元網域名稱為*.aliyundoc.com，則預設贈送主網域名稱aliyundoc.com。如果您申請的萬用字元網域名稱為*.demo.aliyundoc.com，則不會贈送demo.aliyundoc.com或aliyundoc.com。 重要 解析至中國內地伺服器的網站、App等服務，必須完成ICP備案才可對外提供服務，因此請確保添加的網域名稱已完成ICP備案。推薦您登入阿里雲ICP代備案管理系統完成備案。ICP備案接入前請參考ICP備案伺服器（接入資訊）檢查完成相關準備與檢查。 如果您的網站違反國家網路內容的要求或出現DDoS攻擊後，HTTPS加速網關服務將中斷，如遇到該問題，請聯絡商務經理進行諮詢。 若要確保主網域名稱（例如example.com）和www網域名稱（例如www.example.com）均能夠正常進行加密訪問，需要購買兩個HTTP加速網關執行個體。
   網域名稱驗證方式	網域名稱所有權驗證方式選擇。支援以下兩種驗證方式： DNS驗證：即在網域名稱的DNS解析伺服器上，為網域名稱添加DNS解析記錄。 檔案驗證：您需要手動從控制台下載一個專用的驗證檔案，然後將該檔案上傳到站台伺服器的指定驗證目錄。
   強制HTTPS訪問	開啟該功能，瀏覽器端的每個HTTP請求都會被跳轉至HTTPS請求。
   提醒連絡人	從下拉式清單中選擇連絡人（包含郵箱、手機號碼等聯絡資訊），用於接收SSL認證即將到期提醒、資源消耗剩餘量提醒等。最多允許添加10個連絡人。 如果您未建立過連絡人，可以在下拉式清單中單擊建立連絡人，建立一個連絡人。數位憑證管理服務會儲存建立的連絡人資訊，方便您下次使用。關於建立連絡人的具體配置，請參見管理連絡人。
   來源站點資訊	商務服務器地址，用於HTTPS加速網關回源擷取資源。最多可添加20個。 IP：支援配置單個或者多個IP作為來源站點地址，不支援內網IP，僅支援公網IP。例如1.1.x.x。 源站地址：支援佈建網域名作為來源站點地址，可配置多個網域名稱。例如aliyundoc.com,example.com。 說明 來源站點網域名稱不能與加速網域名稱相同，否則會造成迴圈解析，無法回源。 連接埠：根據來源站點的傳輸協議選擇。僅支援選擇80和443標準連接埠。 來源站點使用HTTP：選擇80連接埠。 來源站點使用HTTPS：選擇443連接埠。

5. 完成網域名稱所有權驗證。

   網域名稱所有權驗證完成後，您可以返回網域名稱管理頁簽，檢查目標執行個體狀態是否為已啟用。如有問題，請聯絡商務經理進行諮詢。

   • DNS驗證說明：

     • DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號，系統會在5分鐘內自動進行DNS驗證，請您耐心等待。

     • DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號，您需要手動在對應的DNS網域名稱解析服務商添加一條TXT類型的解析記錄，用於網域名稱所有權驗證。

   • 檔案驗證流程：

     按照以下步驟配置完成後，需確保可以通過http://<您的網域名稱>/.well-known/pki-validation/fileauth.txt或https://<您的網域名稱>/.well-known/pki-validation/fileauth.txt訪問到fileauth.txt檔案內容。

     重要

     • 目前CA中心僅支援向80、443連接埠發起驗證請求，因此您的伺服器需確保開放80、443連接埠。

     • 伺服器如果有HTTPS服務，一定確保可通過HTTPS地址訪問到驗證檔案內容，否則建議您暫時關閉該網域名稱的HTTPS服務，以免影響驗證；伺服器如果未配置過HTTPS服務，需確保HTTP地址可以訪問到驗證檔案內容。

     • 訪問HTTPS地址和HTTP地址地址不能存在301或302跳轉。如存在此類重新導向跳轉，請取消相關設定關閉跳轉。 您可使用wget -S <URL地址>命令檢測該驗證URL地址是否存在跳轉。

     • 如果您的網域名稱為頂層網域（例如aliyundoc.com），您需要確保該網域名稱以www.為起始的次層網域也可被訪問。以aliyundoc.com網域名稱為例，您需要同時確保http://aliyundoc.com/.well-known/pki-validation/fileauth.txt和http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被訪問，否則驗證將不通過。

     • 如果您的網域名稱是以www.為起始的次層網域（例如www.example.com），您需要確保該網域名稱對應的頂層網域也可被訪問。以www.example.com網域名稱為例，您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txt和http://example.com/.well-known/pki-validation/fileauth.txt都可被訪問，否則驗證將不通過。

     1. 在網域名稱所在的伺服器的Web根目錄（Nginx預設為/var/www/html/）下建立檔案驗證目錄以及驗證檔案（.well-known/pki-validation/fileauth.txt）。

     2. 複製記錄值至fileauth.txt檔案並儲存。

        

步驟二：配置CNAME

添加網域名稱後，HTTPS加速網關會為您分配對應的CNAME網域名稱，您需要在網域名稱解析服務商將該CNAME記錄解析至您的網域名稱，使請求可以轉寄到HTTPS加速網關，實現加速效果。不同DNS解析伺服器的方法有所差異，下面以阿里雲DNS雲解析服務配置為例介紹。

1. 登入數位憑證管理服務控制台。

2. 在左側導覽列，選擇認證及網域名稱應用服務 > HTTPS加速網關。

3. 在網域名稱管理頁簽，定位到目標執行個體，在CNAME記錄列，複製CNAME記錄值。

   

4. 添加CNAME記錄。

   1. 使用網域名稱所在的阿里雲帳號，登入Alibaba Cloud DNS控制台。

   2. 在網域名稱解析頁面，定位到您的網域名稱，在操作列，單擊解析設定。

      說明

      非阿里雲註冊的網域名稱，需要先在雲解析控制台完成網域名稱添加，才能進行網域名稱解析設定。具體操作，請參見網域名稱管理。

   3. 單擊添加記錄，參考下表添加CNAME記錄，然後單擊確認。

      參數	說明
      記錄類型	選擇CNAME。
      主機記錄	頂層網域（頂級網域名稱或根網域名稱），主機記錄為@。配置樣本如下： 網域名稱為aliyundoc.com，主機記錄為@。 網域名稱為aliyundoc.com.cn，主機記錄為@。 萬用字元網域名稱，主機記錄一般為*。配置樣本： 網域名稱為.aliyundoc.com，主機記錄為*。 網域名稱為.aliyundoc.com.cn，主機記錄為*。 網域名稱為*.example.aliyundoc.com，主機記錄為*.example。 網域名稱為*.example.aliyundoc.com.cn，主機記錄為*.example。 子網域名稱，主機記錄為子網域名稱首碼。 網域名稱為example.aliyundoc.com，主機記錄為example。 網域名稱為example.aliyundoc.com.cn，主機記錄為example。 網域名稱為www.example.aliyundoc.com，主機記錄為www.example。 網域名稱為www.example.aliyundoc.com.cn，主機記錄為www.example。 關於網域名稱的解釋，請參見基本概念。
      解析請求來源	保持預設線路。
      記錄值	輸入欄位名對應的CNAME記錄值。樣本：aliyundoc.com.w.kunlunhuf.com。
      TTL	推薦保持預設。TTL為緩衝時間，數值越小，修改記錄後生效時間越快，預設為10分鐘。

   4. 單擊確認，完成添加。

      Alibaba Cloud DNS上新增CNAME記錄即時生效，修改CNAME記錄在10分鐘後生效（具體生效時間長短取決於網域名稱DNS解析配置的TTL時間長度，10分鐘為TTL的預設時間長度）。由於控制台存在延遲，CNAME接入狀態顯示僅供參考。如果您能通過網域名稱成功訪問網站，那麼表示CNAME解析已經生效。

相關操作

修改HTTPS加速網域名稱資訊

如果添加網域名稱時填寫來源站點、提醒連絡人等資訊有誤，您可以參考以下步驟進行修改：

1. 在網域名稱管理頁簽，定位到需要修改的執行個體，在操作列，單擊網域名稱列表。

2. 在網域名稱列表頁面，定位到目標網域名稱，在操作列，單擊修改。

重設HTTPS加速網關執行個體

在28個自然日內且未消耗網關資源計算數GRCQ（包括網站請求數和下行流量），如果添加的網域名稱或選擇的網域名稱驗證方式有誤，您可以在網域名稱管理頁簽，定位到目標執行個體，在操作列，選擇 > 重設，重新添加新的網域名稱。