DCDN支持HTTPS安全加速服務,您可以將HTTPS證書部署至DCDN平臺,啟用HTTPS安全加速服務,實現客戶端與DCDN節點間請求的加密傳輸。
前提條件
已準備與加速域名匹配的HTTPS證書。
注意事項
僅支持PEM格式的證書,其他格式的證書請參照證書格式轉換方式進行格式轉換。
上傳第三方服務商簽發的證書時,請使用無密碼保護的私鑰。
在阿里云數字證書管理服務(原SSL)中購買的證書支持批量部署至DCDN平臺,請參見:批量配置HTTPS證書。
您可以查看證書,但由于私鑰信息敏感,不支持私鑰查看,請妥善保管證書相關信息。其他證書相關的常見問題,請參見更多證書問題。
如果您不希望將私鑰暴露在阿里云DCDN以外的環境中,那么您可以使用數字證書管理服務提供的 CSR(Certificate Signing Request) 管理工具,生成基于RSA、ECC、SM2(國密)密鑰算法的CSR和私鑰,或上傳已有的CSR,請參見管理CSR。
如果需要實現全鏈路HTTPS加密,還需要配置DCDN節點以HTTPS協議回源到源站服務器(源站服務器需要支持HTTPS協議)。
配置或更新HTTPS證書
HTTPS功能為增值服務,開啟HTTPS將產生HTTPS請求數計費,該費用單獨按量計費,不包含在DCDN流量包內。HTTPS計費介紹,請參見HTTPS請求數/動態HTTP請求數。
登錄DCDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,單擊目標域名對應的配置。
在指定域名的左側導航欄,單擊HTTPS配置。
在HTTPS證書區域,單擊修改配置。
在HTTPS設置對話框,打開HTTPS安全加速開關,并配置證書相關參數。
如果您已在阿里云數字證書管理服務中購買了證書,請選擇云盾(SSL)證書中心,并在證書名稱中選擇已購買的證書。
說明如果無法選擇您購買的證書,請檢查已購買證書綁定的域名和加速域名是否相同。
如果您使用的是第三方服務商簽發的證書,請選擇自定義上傳(證書+私鑰),您需要在設置證書名稱后,上傳證書(公鑰)和私鑰,該證書將在阿里云數字證書管理服務中保存。您可以在我的證書中查看。
參數
說明
證書名稱
為要上傳的證書設置一個名稱。
支持使用英文字母、英文句號、數字、下劃線(_)和短劃線(-)。
說明證書名稱不能與已有證書名稱重復。已有證書可以在我的證書中查看。
如果系統提示證書重復,請修改證書名稱后再重新上傳。
證書(公鑰)
填寫證書文件內容的PEM編碼。
您可以使用文本編輯工具打開PEM格式的證書文件,復制其中的內容并粘貼到該文本框。
樣例請參見輸入框下方的pem編碼參考樣例。
私鑰
填寫證書私鑰內容的PEM編碼。
您可以使用文本編輯工具打開KEY格式的證書私鑰文件,復制其中的內容并粘貼到該文本框。
樣例請參見輸入框下方的pem編碼參考樣例。
說明如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭,以“-----END PRIVATE KEY-----”結尾的私鑰,您需要使用OpenSSL工具執行以下命令進行轉換,然后將
new_server_key.pem的內容粘貼到該文本框。openssl rsa -in old_server_key.pem -out new_server_key.pem
單擊確定,完成配置。
驗證HTTPS配置是否生效
更新HTTPS證書1分鐘后將全網生效。您可以使用HTTPS方式訪問資源,如果瀏覽器中URL旁邊出現鎖的HTTPS標識,表示HTTPS安全加速已生效。
證書配置完成后,您需要留意證書過期時間并在證書過期前手動配置新的證書。
關閉HTTPS安全加速
如果您不再使用HTTPS安全加速功能,可隨時在DCDN控制臺關閉HTTPS安全加速。關閉HTTPS安全加速實時生效,關閉后使用HTTPS方式無法訪問資源,且不再保留證書或私鑰信息。
再次開啟HTTPS安全加速時,需要重新選擇需要使用的證書。