注意事項(xiàng)

• 僅IPv4高防IP支持修改HTTPS證書(shū)和TLS安全策略，IPv6高防IP不支持修改。

  • HTTPS證書(shū)：僅支持修改為國(guó)際標(biāo)準(zhǔn)證書(shū)，不支持修改為國(guó)密標(biāo)準(zhǔn)證書(shū)。

  • TLS安全策略：除了DDoS高防預(yù)設(shè)的加密套件選項(xiàng)外，還支持自定義加密套件。但僅增強(qiáng)套餐的高防IP支持自定義加密套件，標(biāo)準(zhǔn)套餐的高防IP不支持。

• 關(guān)于各類(lèi)型的DDoS高防實(shí)例，支持的TLS協(xié)議版本請(qǐng)參見(jiàn)下表。

  TLS協(xié)議版本	DDoS高防（中國(guó)內(nèi)地）		DDoS高防（非中國(guó)內(nèi)地）
  	標(biāo)準(zhǔn)套餐	增強(qiáng)套餐	標(biāo)準(zhǔn)套餐	增強(qiáng)套餐
  默認(rèn)TLS協(xié)議版本	TLS 1.0及以上	TLS 1.0及以上	TLS 1.1及以上	TLS 1.1及以上
  支持調(diào)整為哪些TLS協(xié)議版本	TLS 1.2及以上	TLS 1.1及以上 TLS 1.2及以上 TLS 1.3	TLS 1.0及以上 TLS 1.2及以上	TLS 1.0及以上 TLS 1.2及以上 TLS 1.3

操作步驟

1. 登錄DDoS高防控制臺(tái)。

2. 在頂部菜單欄左上角處，選擇地域。

   • DDoS高防（中國(guó)內(nèi)地）：選擇中國(guó)內(nèi)地地域。

   • DDoS高防（非中國(guó)內(nèi)地）：選擇非中國(guó)內(nèi)地地域。

3. 在左側(cè)導(dǎo)航欄，選擇接入管理 > 域名接入。

4. 在頁(yè)面右上角單擊高防IP默認(rèn)SSL/TLS設(shè)置，定位到目標(biāo)高防實(shí)例IP地址，單擊操作列的修改，修改高防IP的HTTPS證書(shū)以及TLS安全策略。

   • HTTPS證書(shū)

     • 手動(dòng)上傳：填寫(xiě)證書(shū)名稱(chēng)，并將證書(shū)文件和私鑰文件中的文本內(nèi)容分別復(fù)制粘貼到證書(shū)文件和私鑰文件框中。

       說(shuō)明

       • 對(duì)于PEM、CER、CRT格式的證書(shū)，您可以使用文本編輯器直接打開(kāi)證書(shū)文件，復(fù)制其中的文本內(nèi)容。對(duì)于其他格式（例如，PFX、P7B等）的證書(shū)，您需要將證書(shū)文件轉(zhuǎn)換成PEM格式后，才能用文本編輯器打開(kāi)并復(fù)制其中的文本內(nèi)容。關(guān)于證書(shū)格式的轉(zhuǎn)換方式，請(qǐng)參見(jiàn)證書(shū)格式轉(zhuǎn)換或HTTPS證書(shū)轉(zhuǎn)換成PEM格式。

       • 如果該HTTPS證書(shū)有多個(gè)證書(shū)文件（例如，證書(shū)鏈），您需要將證書(shū)鏈中的文本內(nèi)容拼接合并后粘貼至證書(shū)文件中。

     • 選擇已有證書(shū)（推薦）：如果您已將證書(shū)上傳到數(shù)字證書(shū)管理服務(wù)，可以直接選擇證書(shū)。如何上傳證書(shū)，請(qǐng)參見(jiàn)上傳和共享SSL證書(shū)。

   • TLS安全策略

     重要

     僅當(dāng)上傳了HTTPS證書(shū)后，才允許修改TLS安全策略。建議TLS安全策略配置，與您為域名配置的TLS安全策略一致。為域名配置的TLS安全策略，請(qǐng)參見(jiàn)自定義TLS安全策略。

     • TLS協(xié)議版本：根據(jù)您的業(yè)務(wù)需要選擇。

     • https加密套件：

       • 全部加密套件，安全性較低，兼容性較高（默認(rèn)）

         該選項(xiàng)包含以下加密套件：

         • ECDHE-ECDSA-AES128-GCM-SHA256

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-ECDSA-AES256-SHA384

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

         • ECDHE-RSA-AES128-SHA256

         • ECDHE-RSA-AES256-SHA384

         • AES128-GCM-SHA256

         • AES256-GCM-SHA384

         • AES128-SHA256

         • AES256-SHA256

         • ECDHE-ECDSA-AES128-SHA

         • ECDHE-ECDSA-AES256-SHA

         • ECDHE-RSA-AES128-SHA

         • ECDHE-RSA-AES256-SHA

         • AES128-SHA

         • AES256-SHA

         • DES-CBC3-SHA

       • 增強(qiáng)加密套件，安全性很高，兼容性很低

         該選項(xiàng)包含以下加密套件：

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

       • 強(qiáng)加密套件，安全性較高，兼容性較低

         該選項(xiàng)包含以下加密套件：

         • ECDHE-ECDSA-AES128-GCM-SHA256

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-ECDSA-AES256-SHA384

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

         • ECDHE-RSA-AES128-SHA256

         • ECDHE-RSA-AES256-SHA384

         • ECDHE-ECDSA-AES128-SHA

         • ECDHE-ECDSA-AES256-SHA

       • 自定義加密套件

         選擇該選項(xiàng)后，您需要從全部加密套件中選擇一個(gè)或多個(gè)加密套件。

         說(shuō)明

         僅增強(qiáng)套餐的DDoS高防實(shí)例支持自定義加密套件，標(biāo)準(zhǔn)套餐的DDoS高防實(shí)例不支持。

   修改完成后，證書(shū)配置狀態(tài)會(huì)顯示為自定義證書(shū)。您可以單擊恢復(fù)默認(rèn)將證書(shū)以及TLS安全策略恢復(fù)到默認(rèn)配置。